Sähköinen allekirjoitus (jäljempänä ES) määritellään Venäjän federaation liittovaltion lain nro 63-FZ, 25. maaliskuuta 2011 "Sähköisestä allekirjoituksesta", mukaan sähköisessä muodossa olevaksi tiedoksi, joka on liitetty muihin tietoihin sähköisessä muodossa (allekirjoitettu tieto) tai muuten sellaiseen tietoon liittyvä ja jota käytetään tiedon allekirjoittajan tunnistamiseen. Määritelty normisäädös korvasi 10. tammikuuta 2002 päivätyn Venäjän federaation liittovaltion lain nro 1-FZ "Sähköisestä digitaalisesta allekirjoituksesta", joka oli menettänyt lainvoimansa 1.7.2013.
Maaliskuun 25. päivänä 2011 annetussa laissa erotetaan kaksi sähköisen allekirjoituksen tyyppiä: yksinkertainen ja tehostettu allekirjoitus. Jälkimmäinen voi olla pätevä tai kouluttamaton. Jos yksinkertainen ES vain vahvistaa, että tietyn sähköisen viestin on lähettänyt tietty henkilö, niin vahvistetun varauksettoman ES:n avulla voidaan paitsi tunnistaa yksiselitteisesti lähettäjä, myös varmistaa, ettei kukaan ole muuttanut sitä asiakirjan allekirjoittamisen jälkeen. Seuraavassa puhumme vahvistetusta pätemättömästä ES:stä. Luokittelemattomalla sähköisellä allekirjoituksella varustettu viesti voidaan rinnastaa omalla kädellä allekirjoitettuun paperiasiakirjaan, jos osapuolet ovat siitä etukäteen sopineet, sekä laissa erityisesti säädetyissä tapauksissa.
Toisaalta ES:tä käytetään vahvistamaan asiakirjan kirjoittaja - tämä on sen merkitys asiakirjan lähettäjälle. Toisaalta sähköinen allekirjoitus, jos se tunnustetaan oikeudellisesti merkittäväksi, varmistaa sen, että kirjoittaja ei kiellä allekirjoitettua asiakirjaa, mikä puolestaan on tärkeää asiakirjan vastaanottajalle. Ristiriitatilanteessa voidaan aina tehdä ristiriitojen analyysi, joka määrittää yksiselitteisesti allekirjoitetun asiakirjan tekijän ja tekee hänet vastuulliseksi allekirjoitetusta asiakirjasta.
Sähköiseen allekirjoitukseen liittyvien ristiriitojen analysointi
Suurin ongelma urheilutilanteiden konfliktien analysoinnissa sähköisellä allekirjoituksella allekirjoitettujen asiakirjojen perusteella on todiste siitä, että "sähköisessä muodossa oleva tieto, joka on liitetty muuhun sähköisessä muodossa olevaan tietoon (allekirjoitettu tieto)" on oikeudellisesti merkittävä. tietyn henkilön sähköinen allekirjoitus tietyn asiakirjan alla.
Salausmenetelmien käyttö antaa meille mahdollisuuden ratkaista tämä ongelma. Jos henkilölle annetaan yksilöllinen sähköinen avain ja sitten tehdään erityisiä muunnoksia käyttämällä tätä sähköistä avainta ja sähköistä asiakirjaa, niin näiden muunnosten tulos (ja tämä on sähköinen allekirjoitus) on ainutlaatuinen tälle parille (avain-asiakirja). Siten konfliktien analysoinnin ensimmäisen vaiheen tehtävä - paljastaa, onko tietty allekirjoitus luotu tietyllä sähköisellä avaimella vai ei - ratkaistaan kryptografisin menetelmin.
Toinen vaihe konfliktien analysoinnissa on osoittaa, että tämä elektroninen avain on tietyn henkilön omaisuutta. Tämä todiste antaa ES:lle oikeudellisen merkityksen. Tämän organisatorisen ongelman ratkaisemiseksi - myönnettyjen avainten kirjanpito - käytetään PKI:tä (Public Key Infrastructure).
ES:lle laillisen arvon antaminen PKI:n avulla
Sähköisiä allekirjoituksia koskevassa laissa tehdään ero ES-avaimen ja ES-varmennusavaimen välillä. Sähköisen allekirjoituksen avain on ainutlaatuinen merkkijono, jota käytetään sähköisen allekirjoituksen luomiseen. Sähköisen allekirjoituksen vahvistusavain on ainutlaatuinen merkkijono, joka liitetään yksilöllisesti sähköisen allekirjoituksen avaimeen ja jota käytetään sähköisen allekirjoituksen aitouden tarkistamiseen. ES-avain johdetaan ES-avaimesta, mutta käänteinen toiminta on mahdotonta. Siten ES-avaimen ja ES-vahvistusavaimen välillä on yksi yhteen vastaavuus. ES-avain on asiakkaan itsensä luoma ja pidettävä salassa. Tätä avainta käytetään asiakirjojen allekirjoittamiseen sähköisellä allekirjoituksella. ES-vahvistusavainta käytetään ES:n varmentamiseen ja se jaetaan kaikille, jotka haluavat tarkistaa allekirjoituksen.
PKI:n pääelementti on varmenteen myöntäjä. Sertifiointikeskus ylläpitää rekisteriä avainten ja avainten omistajien välisestä kirjeenvaihdosta. Avaimen rekisteröintiä varten asiakas vie julkisen osan avaimestaan varmentajalle tunnistetietojensa kanssa ja saa vaatimustenmukaisuustodistuksen, joka vahvistaa hänen omistajuutensa kyseiseen avaimeen. Vaatimustenmukaisuustodistus sisältää ES-varmennusavaimen ja asiakkaan tunnistetiedot, ja sen on allekirjoittanut varmentajan ES. Näin ollen varmentaja todistaa, että asiakas on varmennettu ja että se väittää olevansa. Todistuksen saatuaan asiakas puolestaan allekirjoittaa omalla allekirjoituksellaan erityisasiakirjat myönnetyn varmenteen voimassaolosta. Nämä asiakirjat ovat tärkein linkki tietyn henkilön ja "sähköisten symbolien joukon", hänen sähköisen allekirjoituksensa välillä.
Näin ollen allekirjoittajan varmenne riittää allekirjoituksen tarkistamiseen ja allekirjoittajan tunnistamiseen. Toisin sanoen allekirjoittaja allekirjoittaa asiakirjan ES-avaimellaan ja lähettää sitten vastaanottajalle tämän allekirjoitetun dokumentin ja ES-varmennusavaimen sisältävän varmenteensa. Siten vastaanottaja voi varmistaa, että allekirjoitus on todella tehty allekirjoittajan ES-avaimella ja saa allekirjoittajan tunnistetiedot varmenteesta. Asiakkaan on suojattava ES-avaimensa kompromissilta. Tätä tarkoitusta varten luodaan erilaisia laitteistoavainmuistit, joissa on korkeampi suojaustaso, esimerkiksi ruToken USB-laite.
Venäjän standardi EP
EDS-standardit ovat kaksitasoisia. Ensimmäisellä tasolla sähköinen allekirjoitus sijaitsee suoraan asiakirjasta. Toinen taso sisältää ES:n ja kaikki tarvittavat asiakirjat ES:n juridisen merkityksen antamiseksi: allekirjoittajan varmenne tai varmenneketju, allekirjoituksen luomisaika jne.
Ensimmäisen tason sähköisen koodin venäläinen standardi on GOST 34-10.2012. Venäjän toisen tason ES-standardi on PKCS # 7, jossa on mahdollisuus lisätä TSA-aikaleimoja.
EP:n käyttöalueet
- Internet-pankki
- sähköinen markkinapaikka
- yritysten dokumenttien hallintajärjestelmät
- Sähköposti
- raporttien toimittaminen eri liittovaltion viranomaisille
- Tekijänoikeus
WEB-sivusto sähköisellä allekirjoituksella
Ongelman muotoilu
Oletetaan, että organisaatiosi on tehnyt päätöksen siirtyä verkkopohjaiseen sähköiseen asiakirjahallintajärjestelmään. Samanaikaisesti tärkeimmät paikat, joissa ES vaaditaan, ovat:
- ES-tiedostot mielivaltaisessa muodossa, kun käyttäjä lataa ne verkkosivustolle syöttölomakkeen kautta
- Käyttäjän verkkosivun syöttölomakkeeseen syöttämien tekstitietojen ES
- Useiden käyttäjien verkkosivuille julkaiseman asiakirjan sähköinen allekirjoitus
- käyttäjän työpaikan ja verkkosivuston välisen tiedonsiirron salaussuojaus
- käyttäjän todennus digitaalisen varmenteen avulla päästäkseen henkilökohtaiseen tiliinsä
- palvelimelle tallennettujen tietojen salaussuojaus
Ratkaisukaavio
Sertifiointikeskuksen perustaminen
valitse palvelin, johon varmenneviranomainen otetaan käyttöön. Vaihtoehtoisesti voidaan ottaa käyttöön aikaleima- ja online-varmenteen tilantarkistuspalvelut. Varmentaja ja määritellyt palvelut voivat säästää rahaa käyttää yhtä palvelinta, jonka on oltava saatavilla verkossa. Keskustelemme näiden palvelujen toteutettavuudesta alla.
asenna MagPro CryptoPacket -tuote palvelimelle
Luo CA-avain ja sovellus CA-juurivarmenteelle MagPro CryptoPacketin mkkey-apuohjelmalla. Avain voidaan luoda suojatulle laitteelle, esimerkiksi ruTokenille. Kun CA-avain on luotu, sen turvallisuus on varmistettava organisatorisin menetelmin. Turvallisin vaihtoehto on tallentaa avain ruToken-laitteeseen ja yhdistää se palvelimeen vain varmenteita myönnettäessä. CA-varmenne on tiedosto. Tämä tiedosto myönnetään myöhemmin kaikille CA-asiakkaille, kun he saavat varmenteen.
Luo juuri CA -sertifikaatti MagPro CryptoPacketin openssl-apuohjelmalla.
luoda tiedostojärjestelmään hakemistorakenne, johon tallennetaan myönnetyt käyttäjävarmenteet, myönnetyt palvelinvarmenteet ja varmennesovellukset tiedostoina. Organisaatiomenetelmien (kuten ACL-luetteloiden käyttö) pitäisi tarjota oikeat käyttöoikeudet näille hakemistoille. Sertifikaatit myönnetään PEM-tiedostoina. Muista, että varmennetiedostojen nimet on parasta pitää selkeänä, jotta varmenteet on helpompi löytää myöhemmin.
PKCS # 10 -sertifikaatin avaimen luominen ja rekisteröinti
Varmenteen hankkimiseen CA-käyttäjältä voidaan käyttää kahta järjestelmää: keskitettyä ja etäkäyttöistä. Keskitetyssä järjestelmässä käyttäjä tulee CA:lle ja hänelle annetaan tiedosto, joka sisältää avaimen ja varmenteen. Sitten hän lisää tämän tiedoston USB-muistitikulle. Tämä menetelmä on yksinkertainen ja kätevä, mutta vaarallinen, koska sen avulla varmentajan työntekijät voivat selvittää käyttäjäavaimen. Mutta joissakin tapauksissa tämän järjestelmän käyttö on perusteltua.
Turvallisin järjestelmä varmenteen saamiseksi jaetaan. Käyttäjä luo avaimen, luo PKCS # 10 -varmennepyynnön, joka sisältää hänen ES-varmennusavaimensa ja tunnistetiedot. Käyttäjä allekirjoittaa tämän sovelluksen ES-avaimellaan ja vie sen varmentajalle. Varmentaja tarkistaa sovelluksen allekirjoituksen, tarkistaa käyttäjän tunnistetiedot esimerkiksi passitiedoilla ja myöntää varmenteen. Tämän jälkeen sertifikaatti tulostetaan ja käyttäjä allekirjoittaa manuaalisesti asiakirjan, joka vahvistaa myönnetyn varmenteen vaatimustenmukaisuuden.
Osana käsiteltävää ratkaisua luodaan avaimet ja luodaan tilaus MagPro CryptoPacketin erikoisohjelmalla. Tämä ohjelma sisältyy CryptoTunnel-käyttäjäpakkaukseen.
Tässä ohjelmassa on joustava konfigurointijärjestelmä, jonka avulla voit luoda sovelluksia täysin erityyppisille varmenteille, laajentaa tunnistetietojen standardijoukkoa, lisätä rooleja ja käyttöoikeuksia varmenteille esimerkiksi rajoittaaksesi pääsyä verkkoresursseihin; lisätä erilaisia attribuutteja sovellukseen.
Avaimen luomisen jälkeen käyttäjän on varmistettava, että se säilytetään turvallisesti.
Varmenteiden tyypit sähköiseen allekirjoitukseen WEB-sivustolla
Portaalissamme käytetään useita erityyppisiä varmenteita:
juuri CA-sertifikaatti
Tätä varmennetta käytetään kaikkien muiden Web-portaalin jäsenten sertifikaattien vahvistamiseen.
TLS-palvelimen todennussertifikaatti
Asiakas käyttää tätä varmennetta palvelimen vahvistamiseen luodessaan suojattua TLS-yhteyttä siirrettäessä allekirjoitettuja asiakirjoja verkkosivustolle
TLS-asiakastodennussertifikaatti
Palvelin käyttää tätä varmennetta asiakkaan varmentamiseen ja siihen, että asiakas pääsee henkilökohtaiseen tiliinsä luodessaan suojattua TLS-yhteyttä siirrettäessä allekirjoitettuja asiakirjoja verkkosivustolle
asiakkaan ES-sertifikaatti
Asiakas lisää tämän varmenteen sähköiseen allekirjoitukseensa, jolloin varmentaja voi tarkistaa allekirjoituksen ja tunnistaa allekirjoittajan
OCSP-palvelimen allekirjoitussertifikaatti
Tämän varmenteen avulla OCSP-palvelin lisää allekirjoitettuaan vastaukseen sen vahvistamiseksi
TSA-palvelimen allekirjoitusvarmenne
Tämän avulla TSA-palvelin lisää allekirjoitettuun vastaukseen varmenteen varmistaakseen sen ja antaakseen sille oikeudellisen merkityksen.
Kaikki tämän tyyppiset sertifikaatit voidaan luoda MagPro CryptoPacketin ja MagPro CryptoPacketiin perustuvan CA:n apuohjelmalla.
Varmenteen hankkiminen varmentajalta
Saatuaan käyttäjältä hakemuksen CA-järjestelmänvalvoja luo sovelluksestaan varmuuskopion. Sitten se tarkistaa sovelluksen ja luo openssl-apuohjelman avulla käyttäjävarmenteen, allekirjoittaa sen CA-avaimella ja varmistaa myös sen varmuuskopion. Lisäksi järjestelmänvalvoja tulostaa varmenteen tiedot oikeudellisen merkityksen varmistamiseksi (nämä tiedot saadaan openssl.exe-apuohjelmalla) ja saa manuaalisen käyttäjän allekirjoituksen tämän tulosteen alle. Sitten se antaa käyttäjälle sertifikaatin tiedostossa.
Joten tällä hetkellä pystyimme ottamaan käyttöön CA:n ja opimme luomaan käyttäjäavaimia, hyväksymään niiltä varmennehakemuksia ja myöntämään varmenteita vastaanotettujen hakemusten perusteella. Käyttäjä vahvistaa varmenteen vastaanottamisen ja yhteensopivuuden manuaalisella allekirjoituksellaan, ja siksi voidaan väittää, että olemme ottaneet käyttöön PKI:n, joka varmistaa käyttäjän sähköisen allekirjoituksen juridisen merkityksen.
Seuraavana tehtävänä on käyttää käyttöönotettua PKI:tä sovelletun ongelman ratkaisemiseen - allekirjoitettujen sähköisten asiakirjojen suojatun siirron järjestäminen Web-sivustolle selaimen avulla ja niiden vastaanottaminen Web-sivustolla käsiteltäväksi.
Sähköisen allekirjoituksen tarkistus- ja tallennusmoduuli (palvelin)
Tyypillisesti verkkosivusto otetaan käyttöön jonkinlaisella verkkopalvelimella (Apache, IIS, nginx jne.). Tämä sivusto sisältää henkilökohtaisen tilin jokaiselle sivustolle rekisteröityneelle käyttäjälle. Päästäkseen henkilökohtaiselle tilille käyttäjän on suoritettava todennusmenettely. Tyypillisesti todennus koostuu käyttäjän rekisteröinnin yhteydessä sovitun käyttäjätunnuksen ja salasanan syöttämisestä.
Lisäksi verkkosyöttölomaketta käytetään sähköisten asiakirjojen lataamiseen palvelimelle.
Sivustolle ladattujen asiakirjojen sähköisen allekirjoituksen tarkastuksen "sidomiseksi" tähän järjestelmään, käyttäjän selaimen ja sivuston välisten yhteyksien suojauksen varmistamiseksi sekä käyttäjän tiukan kryptografisen todennuksen varmistamiseksi pääsyä varten henkilökohtainen tili, MagPro CryptoServer -tuote tulee asentaa palvelimelle.
Arkkitehtoninen ratkaisu näyttää tältä:
CryptoServer asennetaan suojatun Web-palvelimen eteen. Tässä tapauksessa Web-palvelin on konfiguroitu siten, että se hyväksyy saapuvat yhteydet vain CryptoServeriltä (katso asennusohjeet). CryptoServer hyväksyy saapuvat HTTS-yhteydet, purkaa niiden salauksen ja välittää ne Web-palvelimelle. Lisäksi CryptoServer lisää HTTP-pyyntöön X509-Cert-otsikon, jossa se lähettää todennusmenettelyn läpäisseen asiakkaan digitaalisen varmenteen. Tämän varmenteen avulla asiakas pääsee hänen henkilökohtaiselle tililleen. Siirrettyjen asiakirjojen alla olevan sähköisen allekirjoituksen tarkistamiseksi CryptoServer sisältää openssl-apuohjelman, jonka avulla voit tarkistaa erityyppiset allekirjoitukset, saada allekirjoittajan varmenteen tai varmenneketjun PKCS # 7 -kuoresta jne. Sähköisen allekirjoituksen tarkistamiseksi asiakirjojen vastaanottamisen verkkosivun on kutsuttava tätä apuohjelmaa.
Sähköisen allekirjoituksen luontimoduuli (asiakas)
Käyttäjän päätehtävänä verkkosivustoa käytettäessä on ladata verkkosivulle sähköisiä asiakirjoja ja tekstidataa sekä ladata sähköisiä asiakirjoja verkkosivustolta. Verkkoyhteyden turvaamiseksi SSL/TLS-protokollaa käyttävän verkkosivuston kanssa ja verkkosivustolle siirrettävien tietojen online-allekirjoitukseen tulee asiakkaan työasemalla käyttää CryptoTunnelia.
CryptoTunnelin tärkeimmät edut:
- tarjoaa suojan verkkoyhteyksille minkä tahansa selaimen ja verkkosivuston välillä käyttäen SSL/TLS-protokollaa venäläisten kryptoalgoritmien tuella
- voit todentaa käyttäjän käyttämällä digitaalista varmennetta päästäksesi käyttäjän henkilökohtaiseen tiliin
- antaa sinun allekirjoittaa asiakirjoja verkossa, kun ne ladataan sivustolle ilman CSP:tä ja Active X:ää
- Tukee Online Certificate Status Checkeria (OCSP)
- tukee luotettujen aikaleimojen hankkimista digitaalisen allekirjoituksen alla (TimeStamp)
- Tukee erilaisia USB-tokeneita ja älykortteja avainten tallentamiseen
- ei vaadi asennusta mukautettuihin paikkoihin, jaetaan kopioimalla
- voidaan tallentaa tavalliselle flash-asemalle ja käyttää sitä
- ei vaadi järjestelmänvalvojan oikeuksia toimiakseen
- tukee työtä minkä tahansa verkkoselaimen kanssa (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Apple Safari jne.)
- ei ole "sidontaa" yhteen tietokoneeseen - käyttäjä voi käyttää yhtä settiä käytettäväksi toimistossa ja kotona - säästää rahaa
- on yksinkertainen ja selkeä käyttöliittymä, joka eliminoi käyttäjän koulutuksen tarpeen
- voit minimoida käyttäjien teknisen tuen kustannukset
- voi toimia useissa käyttöjärjestelmissä (alustojen välinen ratkaisu)
Nämä ovat KAIKKI toiminnot, jotka on suoritettava, jotta CryptoTunnel aloittaa verkkolomakkeen kautta lähetettyjen tietojen ja tiedostojen allekirjoittamisen. Sinun ei tarvitse kirjoittaa ylimääräisiä komentosarjoja, kutsua Active X:ää jne.
Useiden sähköisten allekirjoitusten järjestäminen
Useita ES vaaditaan, jos asiakirjan on allekirjoitettava useampi henkilö. Tässä tapauksessa asiakirja on yleensä sijoitettu sivustolle siten, että se on vain käyttäjien saatavilla, joiden sähköinen allekirjoitus vaaditaan. Tämä käyttöoikeuksien jakaminen varmistetaan todentamalla käyttäjät digitaalisella varmenteella.
CryptoTunnelia käytettäessä käyttäjän ei tarvitse ladata dokumenttia, allekirjoittaa ja ladata asiakirjaa uudelleen palvelimelle - CryptoTunnel tekee kaikki nämä toiminnot automaattisesti, kun hän napsauttaa verkkosivulla olevaa painiketta.
OCSP-palvelu
Usein käy niin, että CA peruuttaa käyttäjän varmenteen (esimerkiksi jos tunkeilija varasti käyttäjän avaimen). Samanaikaisesti muille käyttäjille tulee ilmoittaa tämän varmenteen peruuttamisesta, jotta he eivät enää luottaisi siihen. On olemassa useita tapoja ilmoittaa käyttäjille arvostelusta.
Yksinkertaisin tapa on jakaa peruutusluettelot (CRL). Toisin sanoen CA luo ja päivittää ajoittain erityisen tiedoston, jonka käyttäjät myös ajoittain lataavat.
Toinen tapa on käyttää online-sertifikaatin tilantarkistuspalvelua, OCSP-palvelua. Tarkistaaksesi minkä tahansa varmenteen tilan, CryptoTunnel ja CryptoServer muodostavat automaattisesti OCSP-pyynnön lähettämällä tämän pyynnön palveluun verkon kautta. Palvelu tarkistaa varmenteen, allekirjoittaa varmennustuloksen ES:llään ja palauttaa vastauksen asiakkaalle. Asiakas katsoo vastausta, tarkistaa sen alla olevan allekirjoituksen ja päättää luottaako tähän varmenteeseen vai ei.
OCSP-palvelu voidaan luoda MagPro CryptoPacketin openssl-apuohjelmalla. Huomaa, että valinta CRL:n ja OCSP:n välillä on aina sivuston rakentajien harkinnassa. CRL on hieman halvempi, OCSP on hieman turvallisempi.
On hylättävä, että CryptoTunnel ja CryptoServer tukevat sekä OCSP:tä että CRL:ää.
TSA:n aikaleimapalvelu
Aikaleimapalvelun pääasiallisena tarkoituksena on varmistaa, että asiakirja on allekirjoitettu sähköisellä allekirjoituksella viimeistään aikaleimassa mainittuna aikana.
Aikaleiman luomiseksi CryptoTunnel luo TSA-pyynnön, johon se liittää hajautusarvon digitaalisesta allekirjoituksesta; lähettää tämän pyynnön TSA-palveluun. TSA-palvelu lisää kellonajan tähän tiivisteeseen ja allekirjoittaa tuloksen ES:llään. Tämä luo luotettavan aikaleiman.
Voit luoda luotettujen aikaleimojen online-palvelun käyttämällä MagPro TSA -tuotetta. Tässä tapauksessa aikaleimapalvelun URL-osoite määritellään web-allekirjoituslomakkeen sisältävällä verkkosivulla
TSA-asiakaspuoli on sisäänrakennettu CryptoTunneliin. Kun sähköiseen allekirjoitukseen on saapunut aikaleima, kaikki toiminnot suoritetaan automaattisesti, ilman käyttäjää.
välimies
Arbiter on erityinen ohjelma, jota käytetään sähköisen allekirjoituksen ristiriitojen analysointiin.
Arbitterin avulla voit visualisoida PKCS # 7 -allekirjoituksessa olevan varmenteen identiteetin; visualisoida luottamusketju ja digitaalisen allekirjoituksen (TimeStamp) luomisaika. Ristiriidan analysoimiseksi välimies tarkistaa määritetyn asiakirjan alla olevan allekirjoituksen ja selvittää, onko sen tehnyt varmenteen omistaja.
On huomattava, että konfliktien ratkaisemisen mahdollistamiseksi asiakirjat ja niiden allekirjoitukset on säilytettävä sähköisessä arkistossa pitkään.
Henkilötietojen suojaaminen WEB-sivustolla
Asiakkaan selaimen ja sivuston välillä vaihdettavat tiedot voivat sisältää henkilötietoja ja luottamuksellisia tietoja. Jos kaikki sivuston käyttäjät ovat kiinnostuneita luottamuksellisten tietojen suojaamisesta, henkilötietojen suojaaminen on liittovaltion lain 152-FZ "henkilötiedoista" vaatimus.
Sivustoa käytettäessä tiedot ovat vaarassa, kun ne välitetään Internetin kautta ja kun ne myöhemmin tallennetaan sivuston palvelimelle.
Siirrä suojaus asiakkaan ja palvelimen välillä
Internet on turvaton tiedonsiirtokanava. Suurin uhka tiedonsiirrossa Internetin kautta on "mies keskellä" -hyökkäys, eli hyökkääjä muodostaa yhteyden asiakkaan ja palvelimen väliseen linjaan ja korvaa lähetetyt tiedot. Ainoa tapa suojata tiedot Internetissä on salata tiedot. Koska salaus on salausmenetelmä tietojen suojaamiseen, siihen sovelletaan FSB:n vaatimuksia tietojen salaussuojauskeinoille - FSB-varmenteen olemassaololle.
SSL/TLS:ää käytetään salaamaan käyttäjän selaimen ja verkkosivuston välinen viestintä (verkkoyhteydet). CryptoTunnel tarjoaa tietosuojan tälle protokollalle, joka on täysin FSB:n vaatimusten mukainen. Näin ollen "CryptoTunnel" on sertifioitu ratkaisu, joka täyttää täysin henkilötietojen suojan teknisten keinojen vaatimukset.
Säilytyssuoja
Sivuston sähköiseen arkistoon tallennettuja tietoja on säilytettävä salatussa muodossa. Suojatun sähköisen arkiston luominen on erillisen artikkelin aihe.
1. Asiakirjan allekirjoitusprosessi. Sähköisen allekirjoituksen varmistusalgoritmi
Asiakirjan allekirjoitusprosessi on seuraava. Ensimmäisessä vaiheessa rakennetaan tarkistussummaa muistuttava erityinen funktio (hash-funktio), joka tunnistaa dokumentin sisällön (dokumentista luodaan "tiiviste"). Toisessa vaiheessa dokumentin kirjoittaja salaa hash-funktion sisällön henkilökohtaisella yksityisellä avaimellaan. Salattu hash-toiminto sijoitetaan samaan viestiin kuin itse asiakirja. Digitaalinen allekirjoitus on "koosteen" ja yksityisen yksityisen avaimen johdannainen, joka takaa sen absoluuttisen ainutlaatuisuuden (katso kuva 14.1).
Riisi. 14.1 - Algoritmi EDS-muodostukseen
Algoritmissa käytetyn hash-funktion on täytettävä useita vaatimuksia, nimittäin:
Minkä tahansa pituiset viestit on muutettava binäärisekvenssiksi
kiinteä pituus;
Tuloksena olevan viestin hajautusversion tulee riippua alkuperäisen viestin jokaisesta bitistä ja niiden järjestyksestä;
Viestin tiivistettyä versiota ei voida palauttaa millään tavalla.
viesti.
Sähköisen allekirjoituksen varmistusalgoritmi
Algoritmi sähköisen allekirjoituksen tarkistamiseksi on seuraava. Ensimmäisessä vaiheessa viestin vastaanottaja rakentaa oman versionsa allekirjoitetun asiakirjan hash-funktiosta.
Toisessa vaiheessa viestin sisältämä hash-funktio puretaan lähettäjän julkisella avaimella. Kolmas vaihe on vertailla kahta hash-funktiota. Niiden yhteensopivuus takaa sekä asiakirjan sisällön aitouden että sen tekijän (ks. kuva 14.2).
Riisi. 14.2 - EDS-vahvistus
Sähköinen digitaalinen allekirjoitus, kuten kaikki muutkin tiedot, voidaan siirtää mukana
allekirjoitettu, eli sillä suojatut tiedot. Lisäksi digitaalisen allekirjoituksen avulla voit varmistaa, että tietoja ei ole muutettu (vahingossa tai tarkoituksella) vastaanottajalle siirron aikana.
Salausta ja sähköistä allekirjoitusta voidaan käyttää onnistuneesti yhdessä. Ensin voit allekirjoittaa asiakirjan yksityisellä yksityisellä avaimellasi ja sitten salata sen vastaanottajan julkisella avaimella. Allekirjoitus todistaa henkilöllisyyden, salaus suojaa kirjettä uteliailta katseilta.
2. Todennus
Julkisen avaimen salaus tarjoaa luotettavia palveluja hajautettuun tunnistamiseen, todentamiseen ja valtuutukseen. Tällaisia ongelmia syntyy, jos kohde (järjestelmän käyttäjä) pääsee tietoon. Erityisesti silloin, kun asiakas muodostaa yhteyden palvelimeen avoimessa kanavassa (Internet). Asiakkaan ja palvelimen tunnistetiedot ovat mukana vastaavissa julkisen avaimen varmenteissa, jotka on myöntänyt yksittäinen varmenneviranomainen tai samasta hierarkiasta peräisin olevat varmenneviranomaiset. Siten kun asiakas muodostaa yhteyden palvelimeen, keskinäinen tunnistaminen voidaan suorittaa.
Autentikaatio - sen tarkistaminen, että asiakas tai palvelin omistaa sille esitetyn tunnisteen - voidaan toteuttaa PKI:n ja vastaavien julkisen avaimen sertifikaattien perusteella.
Todennus on mahdollista useilla tavoilla.
1. Palvelin lähettää asiakkaalle todennuspyynnön, joka on salattu asiakkaan julkisella avaimella, joka on saatu asiakkaan julkisen avaimen sertifikaatista. Asiakas purkaa pyynnön salauksen yksityisellä yksityisellä avaimella ja palauttaa sen palvelimelle vahvistaen siten, että se on vastaavan yksityisen avaimen omistaja ja siten varmenteessa oleva identiteetti kuuluu sille.
2. Palvelin lähettää selkeän tekstin todennuspyynnön. Asiakas vastaa pyyntöön allekirjoittamalla sen omalla sähköisellä digitaalisella allekirjoituksellaan.
Palvelin varmistaa asiakkaan EDS:n käyttämällä asiakkaan julkisen avaimen varmenteesta saatua julkista avainta ja varmistaa, että asiakkaalla todella on vastaava yksityinen yksityinen avain.
Kuvattua järjestelmää kutsutaan hallussapitoprotokollaksi, koska lähettäjä todistaa omistavansa salauksen purkamiseen ja sähköisen digitaalisen allekirjoituksen luomiseen tarvittavan yksityisen avaimen.
3. Session Shared Secret Key Neuvottelu Julkisen avaimen salaus mahdollistaa myös sen, että kaksi osapuolta voivat sopia yhteisestä salainen istuntoavain vaihdettaessa tietoja turvattomien viestintäkanavien kautta.
Kaava jaetun istuntoavaimen luomiseksi on seuraava. Ensin asiakas ja palvelin luovat kumpikin yhden satunnaisluvun, jota käytetään puolena heidän yhteisestä salaisesta istuntoavaimestaan. Tämän jälkeen asiakas lähettää puolet yksityisestä avaimesta palvelimelle salattuna palvelimen julkisen avaimen sertifikaatista saadulla julkisella avaimella. Palvelin lähettää puolet asiakkaalle salattuna asiakkaan julkisen avaimen varmenteesta saadulla julkisella avaimella. Kumpikin osapuoli purkaa vastaanotetun viestin salauksen puuttuvalla puoliskolla salaisesta avaimesta ja luo jaetun salaisuuden näistä kahdesta puolikkaasta. Suorittamalla tällaista protokollaa osapuolet voivat käyttää jaettua salaista avainta myöhempien viestien salaamiseen.
4. Salaus ilman symmetrisen salaisen avaimen vaihtamista Julkisen avaimen salaustekniikalla voidaan salata suuria tietomääriä, jos tietoja vaihtavilla osapuolilla ei ole yhteistä avainta.. Nykyiset julkisen avaimen salausalgoritmit vaativat huomattavasti enemmän laskentaresursseja kuin symmetriset algoritmit, joten ne ovat hankalat suurten tietomäärien salaamiseen. On kuitenkin mahdollista toteuttaa yhdistetty lähestymistapa käyttämällä sekä symmetristä salausta että julkisen avaimen salausta.
Ensin valitaan salausalgoritmi salaisella avaimella (GOST 28147-89, DES jne.), sitten luodaan satunnainen istuntoavain, jota käytetään tietojen salaamiseen. Sen jälkeen lähettäjä salaa tämän istuntoavaimen vastaanottajan julkisella avaimella. Sitten se lähettää salatun avaimen ja salatut tiedot vastaanottajalle. Vastaanottaja purkaa istuntoavaimen salauksen yksityisellä yksityisellä avaimellaan ja käyttää sitä tietojen salauksen purkamiseen.
EDS-luottamuksen vahvistus
Vastaanotettuaan EDS:llä allekirjoitetun viestin herää kysymys tähän allekirjoitukseen luottamisesta (kuuluuko tämä EDS todella viestin lähettäjälle). Allekirjoituksen eheys voidaan varmistaa lähettäjän tunnetulla julkisella avaimella ja salausalgoritmeilla. On kuitenkin varmistettava, että varmennukseen käytetty julkinen avain todella kuuluu sille, jonka nimellä viesti on allekirjoitettu.
Jos on mahdollista löytää lähettäjän julkisen avaimen varmenne, jonka on myöntänyt luotettava CA, niin vakuuttava
vahvistus siitä, että lähettäjän julkinen avain todella kuuluu lähettäjälle. Näin ollen on mahdollista varmistaa, että julkinen avain kuuluu tälle tietylle lähettäjälle, jos havaitaan varmenne, jolla: · on julkaisijansa kryptografisesti kelvollinen allekirjoitus;
Vahvistaa lähettäjän nimen ja lähettäjän julkisen avaimen välisen suhteen;
Luotetun varmenneviranomaisen myöntämä.
Jos tällaisen lähettäjän julkisen avaimen varmenne löydettiin, tämän varmenteen aitous voidaan varmistaa varmentajan julkisella avaimella.
Herää kuitenkin kysymys julkisen avaimen omistajuuden tarkistamisesta tälle varmenneviranomaiselle. Sinun on löydettävä varmenne, joka vahvistaa tämän varmenneviranomaisen aitouden. Näin ollen varmenteen tarkistusprosessissa eteneminen sertifiointipolulla tapahtuu. Lähettäjän julkisen avaimen varmenteesta useiden CA:iden kautta johtavan varmenneketjun lopussa on CA:n myöntämä varmenne, jolla on täysi luottamus. Tällaista varmennetta kutsutaan luotetuksi juurivarmenteeksi, koska se muodostaa julkisen avaimen identiteettihierarkian juuren (ylimmän solmun), jonka uskotaan olevan luotettu.
Jos tiettyyn luotettuun juurivarmenteeseen luotetaan nimenomaisesti, kaikkiin luotetun juurivarmenteen myöntämiin varmenteisiin ja kaikkiin sen sertifioimiin CA:ihin on epäsuora luottamus.
Joukko luotettavia juurivarmenteita, joihin nimenomaisesti luotetaan, on ainoa tieto, joka on hankittava luotettavalla tavalla. Tämä varmennesarja on luottamusjärjestelmän perusta ja perustelut julkisen avaimen infrastruktuurin luotettavuudelle.
Yleensä varmennetta varmennettaessa on tarkistettava seuraavat varmennekentät:
Varmenteen tyyppi - sertifikaattia saa käyttää tässä tilassa.
· Voimassaolo - todistus on voimassa tällä hetkellä.
Rehellisyys - varmenteen myöntäneen CA:n digitaalinen allekirjoitus on oikea.
Legitiimiys - todistusta ei ole peruutettu.
· Luottamus - CA-juurivarmenne on "trusted
juuri CA:t".
Kiellot - CTL:t eivät estä varmenteen käyttöä tähän tehtävään.
PERUSKONSEPTIT
KSKPEP
– Sähköisen allekirjoituksen vahvistusavaimen hyväksytty sertifikaatti.
CEP- hyväksytty sähköinen allekirjoitus.
Salauspalveluntarjoaja – Tietojen kryptografisen suojauksen suojakeino Ohjelma, jonka avulla luodaan sähköisen allekirjoituksen suljettu osa ja jonka avulla voit työskennellä sähköisen allekirjoituksen kanssa. Tämä valintaruutu asetetaan automaattisesti.
Avain viety – mahdollisuus kopioida sähköinen allekirjoitus toiselle välineelle. Jos valintamerkkiä ei ole, sähköisen allekirjoituksen kopioiminen on mahdotonta.
Maalaustyöt- hiiren vasen painike.
PKM- hiiren oikea painike.
CRM-AGENTTI- CA-asiantuntijoiden kehittämä sovellus avainparin luomisen, pyynnön luomisen ja varmenteen kirjoittamisen yksinkertaistamiseksi.
Vierailtuaan varmennekeskuksessa ja käytyään läpi henkilöllisyyden todentamismenettelyn varmentaja lähetti hakemuksessa määrittämääsi sähköpostiin kirjeen, joka sisälsi linkin luomista varten. Jos et ole saanut kirjeitä, ota yhteyttä esimieheesi tai CA:n tekniseen tukeen käyttämällä tämän oppaan puhelinnumeroa.
Avaa sähköpostista luotava linkki jossakin suositelluista selaimista:Google chrome, Mozilla Firefox, Yandex-selain... Jos käytät jo jotakin yllä olevista selaimista, napsauta linkkiä Maalaustyöt tai PKM> "Avaa linkki uudessa välilehdessä". Sukupolvisivu (kuva 1) avautuu uuteen ikkunaan.
Kun avaat linkin, näkyviin tulee ensimmäinen varoitus. Tarkista, jos käytät CEP:n säilyttämiseen operaattoria.Jacarta LT ... Lue lisää mediasta osoitteessaalla. Jos käytät toista mediaa, napsauta painiketta "Kiinni".
Kuva 1 - Sukupolvisivu
Napsauta linkkiä"Lataa sovellus" aloittaaksesi lataamisen. Jos mitään ei tapahtunut napsautuksen jälkeen, napsauta linkkiä PKM > "Avaa linkki uudessa välilehdessä"... Kun olet ladannut sovelluksen, aloita asennus.
On suositeltavaa poistaa virustorjuntaohjelmisto käytöstä ennen ohjelman lataamista !
Asennusprosessin aikana « crm - agentti » näyttöön tulee viesti, jossa pyydetään pääsyä (kuva 2).
Kuva 2 - Pääsypyyntö
Napsauta painiketta "Joo".
Kun olet asentanut sovelluksen, palaa sukupolven sivulle. Viesti "Käyttöoikeuden myöntäminen" tulee näkyviin (kuva 3).
Kuva 3 - Pääsy varmennevarastoon
Klikkaa "Jatkaa" ja näkyviin tulevassa ikkunassa "Anna käyttöoikeus"(Kuva 4).
Kuva 4 - Pääsy varmennevarastoon 2
Jos painike ei ilmestynyt "Jatkaa"
Jos sovelluksen asentamisen jälkeen « crm - agentti » , linkki sovelluksen lataamiseen ei ole kadonnut, syynä voi olla se, että turvajärjestelmäsi estää yhteyden.
Tilanteen poistamiseksi sinun on:
Poista tietokoneellesi asennettu virustorjunta käytöstä;
Avaa uusi välilehti selaimessa;
Kirjoita osoite ilman välilyöntejä selaimen osoiteriville - 127.0.0.1:90 - ja mene (painaTulla sisään näppäimistöllä);
Kun selainviesti tulee näkyviin "Yhteytesi ei ole turvallinen", lisää sivu selaimen poikkeuksiin. Esimerkiksi,Kromi: "Lisä" - "Siirry sivustolle joka tapauksessa"... Käytä muissa selaimissa vastaavia kehittäjän ohjeita.
Kun virheilmoitus tulee näkyviin, palaa sukupolven sivulle ja toista Kohta 2 tämän käsikirjan.
Jos sinulla ei ole esiasennettuja salauksen tarjoajia, käyttöoikeuden myöntämisvaiheen jälkeen näkyviin tulee linkit CryptoPRO:n latausta varten (kuva 5).
On tärkeää: Liite « crm - agentti » havaitsee kaikki salauksen tarjoajat tietokoneessa ja jos olet asentanut toisen CryptoPRO CSP ohjelma (esim.VipNET CSP ), ota yhteyttä CA:n teknisen tuen asiantuntijoihin neuvontaa varten.
Napsauta linkkiä "CryptoPRO 4.0" sukupolvisivulta tai vastaavasta alla olevasta linkistä ladataksesi CryptoPRO-asennustiedoston tietokoneellesi.
CryptoPro CSP 4.0 - versio OS Win 7/8/10 -käyttöjärjestelmälle
Kun lataus on valmis, avaapostinumero-arkistoida sopivalla arkistointiohjelmalla (esim.Voittaa - RAR ). Sisällä on itse CryptoPRO-asennustiedosto. Suorita se ja asenna oletusparametreilla. Asennuksen aikana näyttöön saattaa tulla seuraava ikkuna:
Kuva 5 - CryptoPRO:n asentaminen
Ohita ikkuna napsauttamalla "Edelleen"... CryptoPRO:n asennus on valmis.
Ajurin asentaminen tunnukselle
Allekirjoitukset voidaan tallentaa tietokoneen rekisteriin, tavallisille flash-asemille ja erityisilleusb- tokenit. Luettelo tunnuksista, pin-koodeista ja linkeistä ohjelmistoihin on esitetty alla olevassa taulukossa (Taulukko 1).
Taulukko 1 - Suojatun median ohjaimet
|
USB-mediatyyppi |
USB-median ulkonäkö |
Linkki ajurien lataamiseen |
PIN-koodi |
|
ruToken |
 |