Elektronický podpis (ďalej - ES) je v súlade s federálnym zákonom Ruskej federácie č. 63-FZ z 25. marca 2011 „o elektronickom podpise“ definovaný ako informácia v elektronickej forme, ktorá je pripojená k iným informáciám v elektronickej forme (podpísané informácie) alebo inak spojené s takými informáciami a ktoré sa používajú na identifikáciu podpisovateľa informácií. Uvedený normatívny akt nahradil federálny zákon Ruskej federácie č. 1-FZ z 10. januára 2002 „O elektronickom digitálnom podpise“, ktorý 1. júla 2013 stratil platnosť.
Zákon z 25. marca 2011 rozlišuje dva typy elektronického podpisu: jednoduchý a vylepšený. Tí druhí môžu byť kvalifikovaní alebo nekvalifikovaní. Ak jednoduchý ES len potvrdí, že danú elektronickú správu odoslala konkrétna osoba, tak posilnený nekvalifikovaný ES umožňuje nielen jednoznačne identifikovať odosielateľa, ale aj potvrdiť, že ho od podpisu dokumentu nikto nezmenil. Ďalej budeme hovoriť o posilnených nekvalifikovaných ES. Správu s nekvalifikovaným elektronickým podpisom možno prirovnať k papierovému dokumentu podpísanému vlastnou rukou, ak sa na tom zmluvné strany vopred dohodli, ako aj v prípadoch osobitne ustanovených zákonom.
ES sa na jednej strane používa na potvrdenie autorstva dokumentu – to je jeho význam pre odosielateľa dokumentu. Na druhej strane elektronický podpis, ak je uznaný ako právne významný, zabezpečuje, že autor podpísaný dokument neodmietne, čo je zase dôležité pre príjemcu dokumentu. V prípade spornej situácie je vždy možné vykonať analýzu konfliktov, ktorá jednoznačne určí autora podpísaného dokumentu a zoberie zodpovednosť za podpísaný dokument.
Analýza konfliktov súvisiacich s elektronickým podpisom
Hlavným problémom pri analýze konfliktov v športových situáciách na základe dokumentov podpísaných elektronickým podpisom je preukázanie skutočnosti, že „informácia v elektronickej podobe, ktorá je pripojená k inej informácii v elektronickej podobe (podpísaná informácia)“ je právne významná elektronický podpis konkrétnej osoby pod konkrétnym dokumentom.
Použitie kryptografických metód nám umožňuje tento problém vyriešiť. Ak osoba dostane jedinečný elektronický kľúč a potom sa pomocou tohto elektronického kľúča a elektronického dokumentu vykonajú špeciálne transformácie, potom bude výsledok týchto transformácií (a to je elektronický podpis) jedinečný pre tento pár (kľúč – dokument). Úloha prvej fázy analýzy konfliktov – odhaliť, či bol daný podpis vygenerovaný pomocou daného elektronického kľúča alebo nie – je teda riešená kryptografickými metódami.
Druhou fázou analýzy konfliktov je dokázať, že tento elektronický kľúč je majetkom konkrétnej osoby. Tento dôkaz dáva ES právny význam. Na vyriešenie tohto organizačného problému - účtovania vydaných kľúčov - sa používa PKI (Public Key Infrastructure).
Poskytnutie právnej hodnoty ES pomocou PKI
Zákon „O elektronických podpisoch“ rozlišuje medzi ES kľúčom a ES overovacím kľúčom. Kľúč elektronického podpisu je jedinečná sekvencia znakov, ktorá sa používa na vytvorenie elektronického podpisu Kľúč na overenie elektronického podpisu je jedinečná sekvencia znakov, ktorá je jednoznačne spojená s kľúčom elektronického podpisu a používa sa na overenie pravosti elektronického podpisu. Kľúč ES je odvodený od kľúča ES, ale spätná operácia nie je možná. Existuje teda vzájomná zhoda medzi kľúčom ES a overovacím kľúčom ES. ES kľúč si musí vytvoriť klient sám a uchovávať ho v tajnosti. Práve tento kľúč sa používa na podpisovanie dokumentov elektronickým podpisom. Overovací kľúč ES slúži na overenie ES a je distribuovaný každému, kto chce overiť podpis.
Hlavným prvkom PKI je certifikačná autorita. Certifikačné centrum vedie register korešpondencie medzi kľúčmi a osobami, ktoré tieto kľúče vlastnia. Na registráciu kľúča klient odnesie verejnú časť svojho kľúča do CA spolu s identifikačnými údajmi a dostane certifikát zhody potvrdzujúci vlastníctvo tohto konkrétneho kľúča. Certifikát zhody obsahuje overovací kľúč ES a identifikačné údaje klienta a je podpísaný ES certifikačnej autority. CA teda potvrdzuje, že klient bol overený a je tým, za koho sa vydáva. Po prevzatí certifikátu klient zasa vlastnoručným podpisom podpisuje osobitné dokumenty o platnosti vydaného certifikátu. Tieto dokumenty sú hlavným spojivom medzi konkrétnou osobou a „súborom elektronických symbolov“, jej elektronickým podpisom.
Na overenie podpisu a identifikáciu podpisovateľa teda stačí certifikát podpisovateľa. To znamená, že podpisovateľ podpíše dokument svojim ES kľúčom a potom odošle príjemcovi tento podpísaný dokument a jeho certifikát obsahujúci overovací kľúč ES. Príjemca si tak bude môcť overiť, že podpis bol skutočne vykonaný ES kľúčom podpisovateľa a z certifikátu dostane identifikačné údaje podpisovateľa. Klient musí chrániť svoj kľúč ES pred kompromitáciou. Na tento účel sú vytvorené rôzne úložiská hardvérových kľúčov so zvýšenou úrovňou ochrany, napríklad zariadenie ruToken USB.
Ruský štandardný EP
Štandardy EDS sú dvojúrovňové. Na prvej úrovni sa elektronický podpis nachádza priamo z dokumentu. Druhá úroveň obsahuje ES a všetky dokumenty potrebné na to, aby mal ES právny význam: certifikát podpisovateľa alebo reťaz certifikátov, čas vytvorenia podpisu atď.
Ruský štandard pre elektronický kód prvej úrovne je GOST 34-10.2012. Ruský štandard pre ES druhej úrovne je PKCS # 7 s možnosťou pridania časových pečiatok TSA.
Oblasti použitia EP
- Internetová banka
- elektronické trhovisko
- systémy správy firemných dokumentov
- podávanie správ rôznym federálnym službám
- Autorské práva
WEB stránka s elektronickým podpisom
Formulácia problému
Predpokladajme, že sa vaša organizácia rozhodla prejsť na webový elektronický systém správy dokumentov. Hlavné miesta, kde sa vyžaduje ES, sú zároveň:
- ES súbory ľubovoľného formátu, keď ich používateľ nahrá na webovú stránku prostredníctvom vstupného formulára
- ES textových údajov zadaných používateľom do vstupného formulára na webovej stránke
- Elektronický podpis dokumentu zverejneného na webovej stránke viacerými používateľmi
- kryptografická ochrana prenosu dát medzi pracoviskom užívateľa a webovou stránkou
- overenie používateľa pomocou digitálneho certifikátu na prístup k jeho osobnému účtu
- kryptografická ochrana informácií uložených na serveri
Schéma riešenia
Vytvorenie certifikačného centra
vyberte server, na ktorom bude nasadená certifikačná autorita. Voliteľne možno nasadiť služby časovej pečiatky a online kontroly stavu certifikátov. Aby sa ušetrili peniaze, CA a špecifikované služby môžu používať jeden server, ktorý musí byť dostupný online. O uskutočniteľnosti týchto služieb budeme diskutovať nižšie.
nainštalujte produkt MagPro CryptoPacket na server
vytvorte kľúč CA a aplikáciu pre koreňový certifikát CA pomocou pomôcky mkkey z MagPro CryptoPacket. Kľúč je možné vytvoriť na zabezpečenom zariadení, napríklad na ruTokene. Po vytvorení kľúča CA je potrebné zabezpečiť jeho bezpečnosť organizačnými metódami. Najbezpečnejšou možnosťou je uložiť kľúč na zariadení ruToken a pripojiť ho k serveru až pri vydávaní certifikátov. Certifikát CA je súbor. Tento súbor bude následne vydaný všetkým klientom CA, keď dostanú certifikát.
vytvorte koreňový certifikát CA pomocou nástroja openssl z MagPro CryptoPacket.
vytvorte adresárovú štruktúru v súborovom systéme, v ktorej budú uložené užívateľské certifikáty, vydané serverové certifikáty a aplikácie certifikátov vo forme súborov. Organizačné metódy (napríklad používanie ACL) by mali poskytovať správne povolenia pre tieto adresáre. Certifikáty budú vydané ako súbory PEM. Majte na pamäti, že názvy súborov certifikátov je najlepšie udržiavať jasné, aby ste certifikáty neskôr ľahšie našli.
Generovanie a registrácia kľúča certifikátu PKCS # 10
Na získanie certifikátu používateľom CA možno použiť dve schémy: centralizovanú a vzdialenú. Pri centralizovanej schéme používateľ príde do CA a dostane súbor obsahujúci kľúč a certifikát. Potom tento súbor pridá na USB flash disk. Táto schéma je jednoduchá a pohodlná, ale nie je bezpečná, pretože umožňuje zamestnancom CA zistiť užívateľský kľúč. V niektorých prípadoch je však použitie tejto schémy opodstatnené.
Najbezpečnejšia schéma na získanie certifikátu je distribuovaná. Používateľ si vytvorí kľúč, vytvorí žiadosť o certifikát PKCS #10, ktorá obsahuje jeho overovací kľúč ES a identifikačné údaje. Používateľ podpíše túto aplikáciu svojim ES kľúčom a vezme ju do CA. CA overí podpis na aplikácii, overí identifikačné údaje používateľa napríklad s údajmi z pasu a vydá certifikát. Následne sa certifikát vytlačí a užívateľ ručne podpíše dokument potvrdzujúci zhodu vydaného certifikátu.
V rámci diskutovaného riešenia sa pomocou špeciálneho programu z MagPro CryptoPacket vygenerujú kľúče a vytvorí sa objednávka. Tento program je súčasťou používateľskej súpravy CryptoTunnel.
Tento program má flexibilný konfiguračný systém, pomocou ktorého môžete vytvárať aplikácie pre úplne odlišné typy certifikátov, rozširovať štandardnú sadu identifikačných informácií, pridávať role a užívateľské práva k certifikátom, napríklad na vymedzenie prístupu k webovým zdrojom; pridať do aplikácie rôzne atribúty.
Po vytvorení kľúča sa musí používateľ uistiť, že je bezpečne uložený.
Typy certifikátov pre elektronický podpis na WEB-stránke
Na našom portáli sa bude používať niekoľko typov certifikátov:
koreňový certifikát CA
Tento certifikát sa používa na overenie všetkých ostatných certifikátov pre členov webového portálu.
Certifikát overenia servera TLS
Tento certifikát sa používa na overenie servera klientom pri vytváraní zabezpečeného pripojenia TLS pri prenose podpísaných dokumentov na webovú stránku
Certifikát overenia klienta TLS
Tento certifikát slúži na overenie klienta serverom a na prístup klienta k jeho osobnému účtu pri vytváraní zabezpečeného TLS spojenia pri prenose podpísaných dokumentov na webovú stránku
ES certifikát klienta
Klient si tento certifikát pridá k svojmu elektronickému podpisu, a tak overujúca strana môže overiť podpis a identifikovať podpisovateľa
Podpisový certifikát servera OCSP
S týmto certifikátom server OCSP pridá k svojej podpísanej odpovedi, aby ju overil
Podpisový certifikát servera TSA
Server TSA tak k svojej podpísanej odpovedi pridá certifikát, aby ju overil a dodal jej právny význam.
Všetky tieto typy certifikátov je možné vytvoriť pomocou pomôcky od MagPro CryptoPacket a CA založenej na MagPro CryptoPacket.
Získanie certifikátu na CA
Po prijatí žiadosti od používateľa správca CA vytvorí záložnú kópiu jeho žiadosti. Následne skontroluje aplikáciu a pomocou utility openssl vytvorí užívateľský certifikát, podpíše ho na kľúč CA a zabezpečí aj jeho zálohu. Okrem toho, aby sa zabezpečil právny význam, správca vytlačí informácie z certifikátu (tieto informácie sa získajú pomocou nástroja openssl.exe) a pod tento výtlačok dostane ručný podpis používateľa. Potom vydá používateľovi jeho certifikát v súbore.
V súčasnosti sme teda dokázali nasadiť CA a naučili sme sa vytvárať užívateľské kľúče, prijímať od nich žiadosti o certifikáty a vydávať certifikáty na základe prijatých žiadostí. Užívateľ potvrdzuje prevzatie a súlad certifikátu svojim ručným podpisom, a preto možno tvrdiť, že sme nasadili PKI, čo zabezpečuje právny význam elektronického podpisu užívateľa.
Ďalšou úlohou je použiť nasadené PKI na riešenie aplikovaného problému – organizovanie bezpečného prenosu podpísaných elektronických dokumentov na webovú lokalitu pomocou prehliadača a ich prijímanie na spracovanie na webovej lokalite.
Modul overovania a ukladania elektronického podpisu (server)
Webová stránka je zvyčajne nasadená na nejakom webovom serveri (Apache, IIS, nginx atď.). Táto stránka obsahuje osobný účet pre každého užívateľa, ktorý je na stránke registrovaný. Na prístup k osobnému účtu musí používateľ prejsť postupom overenia. Autentifikácia zvyčajne pozostáva zo zadania prihlasovacieho mena a hesla dohodnutého počas registrácie používateľa.
Okrem toho sa na nahrávanie elektronických dokumentov na server používa webový vstupný formulár.
Za účelom „naviazania“ overovania elektronického podpisu dokumentov nahrávaných na stránku do tohto systému, zabezpečenia ochrany spojení medzi prehliadačom užívateľa a stránkou, ako aj zabezpečenie prísnej kryptografickej autentifikácie užívateľa pre prístup k osobného účtu, produkt MagPro CryptoServer by mal byť nainštalovaný na serveri.
Architektonické riešenie bude vyzerať takto:
CryptoServer je nainštalovaný pred chráneným webovým serverom. V tomto prípade je webový server nakonfigurovaný tak, že prijíma prichádzajúce spojenia iba z CryptoServera (pozri návod na nastavenie). CryptoServer akceptuje prichádzajúce spojenia HTTS, dešifruje ich a odošle na webový server. Okrem toho CryptoServer pridá do HTTP požiadavky hlavičku X509-Cert, v ktorej odošle digitálny certifikát klienta, ktorý prešiel autentifikačnou procedúrou. Tento certifikát sa následne používa na prístup klienta k jeho osobnému účtu. Na kontrolu elektronického podpisu pod prenášanými dokumentmi CryptoServer obsahuje utilitu openssl, ktorá vám umožní kontrolovať rôzne typy podpisov, získať certifikát podpisovateľa alebo reťazec certifikátov z obálky PKCS #7 atď. Ak chcete skontrolovať elektronický podpis, webová stránka na prijímanie dokumentov musí zavolať tento nástroj.
Modul generovania elektronického podpisu (klient)
Hlavnou úlohou používateľa pri prístupe na webovú stránku je nahrávanie elektronických dokumentov a textových údajov na webovú stránku, ako aj sťahovanie elektronických dokumentov z webovej stránky. Na zabezpečenie webového spojenia s webovou stránkou pomocou protokolu SSL / TLS a na online podpisovanie údajov prenášaných na webovú stránku by mal byť na pracovnej stanici klienta použitý CryptoTunnel.
Hlavné výhody CryptoTunnel:
- poskytuje ochranu webového spojenia medzi ľubovoľným prehliadačom a webovou stránkou pomocou protokolu SSL / TLS s podporou ruských kryptoalgoritmov
- umožňuje overiť používateľa pomocou digitálneho certifikátu na prístup k osobnému účtu používateľa
- umožňuje podpisovať dokumenty online, keď sú nahrané na stránku bez použitia CSP a Active X
- Podporuje online kontrolu stavu certifikátu (OCSP)
- podporuje získavanie dôveryhodných časových pečiatok pod digitálnym podpisom (TimeStamp)
- Podporuje rôzne USB tokeny a smart karty na ukladanie kľúčov
- nevyžaduje inštaláciu na vlastné miesta, distribuované kopírovaním
- možno uložiť na bežný flash disk a spustiť z neho
- na fungovanie nevyžaduje práva správcu systému
- podporuje prácu s akýmkoľvek webovým prehliadačom (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Apple Safari atď.)
- nemá "väzbu" na jeden počítač - používateľ môže používať jednu zostavu na použitie v kancelárii aj doma - šetrí peniaze
- má jednoduché a priamočiare používateľské rozhranie, ktoré eliminuje potrebu školenia používateľov
- umožňuje minimalizovať náklady na technickú podporu pre používateľov
- môže bežať na širokej škále operačných systémov (viacplatformové riešenie)
Toto sú VŠETKY akcie, ktoré je potrebné vykonať, aby CryptoTunnel začal podpisovať dáta a súbory prenášané cez webový formulár. Nie je potrebné písať žiadne ďalšie skripty, volať Active X atď.
Organizácia viacerých elektronických podpisov
Viacero ES sa vyžaduje, ak dokument musí byť podpísaný viacerými osobami. V tomto prípade sa dokument zvyčajne zverejňuje na stránke tak, aby bol dostupný len pre používateľov, ktorých elektronický podpis je potrebný. Toto zdieľanie prístupu je zabezpečené autentifikáciou používateľov digitálnym certifikátom.
Pri používaní CryptoTunnelu používateľ nemusí sťahovať dokument a následne ho znova podpisovať a nahrávať na server – CryptoTunnel vykoná všetky tieto operácie automaticky po kliknutí na tlačidlo na webovej stránke.
Služba OCSP
Často sa stáva, že CA zruší certifikát používateľa (napríklad ak bol kľúč používateľa odcudzený narušiteľom). Zároveň by mali byť ostatní používatelia upozornení na zrušenie tohto certifikátu, aby mu prestali dôverovať. Existuje niekoľko spôsobov, ako upozorniť používateľov na recenziu.
Najjednoduchšou metódou je distribúcia zoznamov zrušenia (CRL). To znamená, že CA vytvára a pravidelne aktualizuje špeciálny súbor, ktorý si používatelia tiež pravidelne sťahujú.
Ďalším spôsobom je použiť službu online kontroly stavu certifikátu, službu OCSP. Ak chcete skontrolovať stav akéhokoľvek certifikátu, CryptoTunnel a CryptoServer automaticky vytvoria požiadavku OCSP, odošlite túto požiadavku službe cez sieť. Služba overí certifikát, podpíše výsledok overenia svojim ES a vráti klientovi odpoveď. Klient si odpoveď pozrie, skontroluje podpis pod ňou a rozhodne sa, či bude tomuto certifikátu dôverovať alebo nie.
Službu OCSP je možné vytvoriť pomocou utility openssl od MagPro CryptoPacket. Upozorňujeme, že výber medzi CRL a OCSP je vždy na rozhodnutí tvorcov stránok. CRL je o niečo lacnejšie, OCSP je o niečo bezpečnejšie.
Je potrebné vylúčiť, že CryptoTunnel a CryptoServer podporujú OCSP aj CRL.
Služba časovej pečiatky TSA
Hlavným účelom služby časovej pečiatky je potvrdiť skutočnosť, že dokument bol podpísaný elektronickým podpisom najneskôr v čase uvedenom v časovej pečiatke.
Na vytvorenie časovej pečiatky CryptoTunnel vytvorí požiadavku TSA, ku ktorej pripojí hash z digitálneho podpisu; odošle túto požiadavku službe TSA. Služba TSA k tomuto hashu pridá aktuálny čas a výsledok podpíše svojim ES. Tým sa vytvorí dôveryhodná časová pečiatka.
Ak chcete vytvoriť online službu dôveryhodných časových pečiatok, použite produkt MagPro TSA. V tomto prípade je adresa URL služby časovej pečiatky určená webovou stránkou, ktorá obsahuje formulár webového podpisu
Strana klienta TSA je zabudovaná do CryptoTunnel. Po prijatí časovej pečiatky na elektronickom podpise sa všetky úkony vykonajú automaticky, bez zapojenia používateľa.
Rozhodca
Arbiter je špeciálny program, ktorý sa používa pri analýze konfliktov elektronickým podpisom.
Rozhodca vám umožňuje vizualizovať identitu certifikátu, ktorý je v podpise PKCS # 7; vizualizovať reťazec dôvery a čas vytvorenia digitálneho podpisu (TimeStamp). Na analýzu konfliktu Rozhodca skontroluje podpis pod zadaným dokumentom a zistí, či ho urobil vlastník certifikátu.
Treba si uvedomiť, že pre samotnú možnosť riešenia konfliktov musia byť dokumenty a ich podpisy dlhodobo uložené v elektronickom archíve.
Ochrana osobných údajov na WEB-stránke
Údaje vymieňané medzi prehliadačom klienta a stránkou môžu obsahovať osobné údaje a dôverné informácie. Ak majú všetci používatelia stránky záujem o ochranu dôverných informácií, potom je ochrana osobných údajov požiadavkou federálneho zákona 152-FZ „O osobných údajoch“.
Pri používaní stránky sú dáta ohrozené, keď sú prenášané cez internet a keď sú následne uložené na serveri stránky.
Ochrana prenosu medzi klientom a serverom
Internet je nezabezpečený prenosový kanál. Hlavnou hrozbou pri prenose dát cez internet je útok „man in the middle“, teda útočník sa pripojí na linku medzi klientom a serverom a nahradí prenášané informácie. Jediným spôsobom ochrany údajov na internete je šifrovanie týchto údajov. Keďže šifrovanie je kryptografický spôsob ochrany informácií, podlieha požiadavkám FSB na prostriedky kryptografickej ochrany informácií – prítomnosť certifikátu FSB.
SSL / TLS sa používa na šifrovanie komunikácie medzi prehliadačom používateľa a webovou stránkou (webové pripojenia). CryptoTunnel poskytuje ochranu údajov pre tento protokol, ktorý je plne v súlade s požiadavkami FSB. „CryptoTunnel“ je teda certifikovaným riešením, ktoré plne spĺňa požiadavky na technické prostriedky ochrany osobných údajov.
Ochrana skladovania
Pri ukladaní údajov do elektronického archívu stránky musia byť tieto údaje uchovávané v zašifrovanej podobe. Vytvorenie bezpečného elektronického archívu je témou na samostatný článok.
1. Proces podpisovania dokumentu. Algoritmus overovania elektronického podpisu
Proces podpisovania dokumentu je nasledovný. V prvom kroku sa vytvorí špeciálna funkcia (hash funkcia), ktorá sa podobá kontrolnému súčtu, identifikuje obsah dokumentu (vytvorí sa „súhrn“ dokumentu). V druhom kroku autor dokumentu zašifruje obsah hašovacej funkcie svojim osobným súkromným kľúčom. Zašifrovaná hašovacia funkcia je umiestnená v rovnakej správe ako samotný dokument. Digitálny podpis je derivátom „digestu“ a súkromného privátneho kľúča, čo zaručuje jeho absolútnu jedinečnosť (pozri obr. 14.1).
Ryža. 14.1 - Algoritmus pre tvorbu EDS
Hašovacia funkcia použitá v algoritme musí spĺňať niekoľko požiadaviek, konkrétne:
Každá správa akejkoľvek dĺžky musí byť prevedená na binárnu sekvenciu
pevná dĺžka;
Výsledná hashovaná verzia správy musí závisieť od každého bitu pôvodnej správy a od ich poradia;
Hašovanú verziu správy nie je možné žiadnym spôsobom obnoviť.
správu.
Algoritmus overovania elektronického podpisu
Algoritmus na overenie elektronického podpisu je nasledujúci. V prvom kroku si príjemca správy vytvorí vlastnú verziu hašovacej funkcie podpísaného dokumentu.
V druhej fáze je hašovacia funkcia obsiahnutá v správe dešifrovaná pomocou verejného kľúča odosielateľa. Tretím krokom je porovnanie dvoch hashovacích funkcií. Ich zhoda zaručuje pravosť obsahu dokumentu aj jeho autorstvo (pozri obrázok 14.2).
Ryža. 14.2 - Overenie EDS
Elektronický digitálny podpis, rovnako ako akékoľvek iné údaje, je možné prenášať spolu s
podpísané, teda údaje ním chránené. Okrem toho vám digitálny podpis umožňuje uistiť sa, že údaje neboli zmenené (náhodne alebo úmyselne) počas prenosu adresátovi.
Šifrovanie a elektronický podpis je možné úspešne použiť súčasne. Najprv môžete dokument podpísať svojím súkromným kľúčom a potom ho zašifrovať verejným kľúčom príjemcu. Podpis preukazuje identitu, šifrovanie chráni list pred zvedavými očami.
2. Autentifikácia
Šifrovanie s verejným kľúčom poskytuje spoľahlivé služby pre distribuovanú identifikáciu, autentifikáciu a autorizáciu. Problémy tohto druhu vznikajú pri akejkoľvek skutočnosti prístupu subjektu (používateľa systému) k informáciám. Najmä, keď sa klient pripojí k serveru v otvorenom kanáli (Internet). Poverenia klienta a servera sa nachádzajú v zodpovedajúcich certifikátoch verejného kľúča vydaných jednou certifikačnou autoritou alebo certifikačnými autoritami z rovnakej hierarchie. Keď sa teda klient pripojí k serveru, môže dôjsť k vzájomnej identifikácii.
Autentifikácia - kontrola, či klient alebo server vlastní identifikátor, ktorý mu bol predložený - môže byť implementovaná na základe PKI a zodpovedajúcich certifikátov verejného kľúča.
Autentifikácia je možná niekoľkými spôsobmi.
1. Server odošle klientovi požiadavku na autentifikáciu zašifrovanú verejným kľúčom klienta získaným z certifikátu verejného kľúča klienta. Klient dešifruje požiadavku pomocou súkromného privátneho kľúča a vráti ju serveru, pričom potvrdí tak, že je vlastníkom príslušného privátneho kľúča a teda mu patrí identita v certifikáte.
2. Server odošle požiadavku na overenie v otvorenom texte. Klient odpovie na požiadavku podpísaním vlastného elektronického digitálneho podpisu.
Server overí EDS klienta pomocou verejného kľúča získaného z certifikátu verejného kľúča klienta a overí, či klient skutočne má zodpovedajúci súkromný súkromný kľúč.
Opísaná schéma sa nazýva protokol proof-of-possession, keďže odosielateľ preukáže, že vlastní súkromný kľúč potrebný na dešifrovanie a vytvorenie elektronického digitálneho podpisu.
3. Vyjednávanie o zdieľanom tajnom kľúči relácie Kryptografia verejného kľúča tiež umožňuje dvom stranám dohodnúť sa na zdieľanom kľúči tajnej relácie pri výmene informácií cez nezabezpečené komunikačné kanály.
Schéma na generovanie kľúča zdieľanej relácie je nasledovná. Najprv klient a server vygenerujú po jednom náhodnom čísle, ktoré sa používa ako polovica ich zdieľaného tajného kľúča relácie. Klient potom odošle svoju polovicu súkromného kľúča na server zašifrovanú verejným kľúčom získaným z certifikátu verejného kľúča servera. Server odošle svoju polovicu klientovi zašifrovanú verejným kľúčom získaným z certifikátu verejného kľúča klienta. Každá zo strán dešifruje prijatú správu pomocou chýbajúcej polovice tajného kľúča a z týchto dvoch polovíc vytvorí zdieľané tajomstvo. Spustením takéhoto protokolu môžu strany použiť zdieľaný tajný kľúč na šifrovanie nasledujúcich správ.
4. Šifrovanie bez predchádzajúcej výmeny symetrického tajného kľúča Technológia šifrovania pomocou verejného kľúča dokáže zašifrovať veľké množstvo údajov, ak strany, ktoré si vymieňajú informácie, nemajú zdieľaný kľúč. Existujúce šifrovacie algoritmy s verejným kľúčom vyžadujú podstatne viac výpočtových zdrojov ako symetrické algoritmy, takže sú nepohodlné na šifrovanie veľkého množstva údajov. Je však možné implementovať kombinovaný prístup využívajúci symetrické šifrovanie aj šifrovanie verejným kľúčom.
Najprv sa vyberie šifrovací algoritmus s tajným kľúčom (GOST 28147-89, DES atď.), potom sa vygeneruje náhodný kľúč relácie, ktorý sa použije na šifrovanie údajov. Odosielateľ potom zašifruje tento kľúč relácie pomocou verejného kľúča príjemcu. Potom odošle zašifrovaný kľúč a zašifrované údaje príjemcovi. Príjemca dešifruje kľúč relácie pomocou svojho súkromného kľúča a použije ho na dešifrovanie údajov.
Potvrdenie dôvery EDS
Po prijatí správy podpísanej pomocou EDS vyvstáva otázka dôvery tomuto podpisu (či tento EDS skutočne patrí odosielateľovi správy). Integritu podpisu možno overiť pomocou známeho verejného kľúča odosielateľa a kryptografických algoritmov. Je však potrebné dbať na to, aby verejný kľúč použitý na overenie skutočne patril subjektu, ktorého menom je správa podpísaná.
Ak je možné nájsť certifikát verejného kľúča odosielateľa vydaný certifikačnou autoritou, ktorá je dôveryhodná, potom presvedčivý
potvrdenie, že verejný kľúč odosielateľa skutočne patrí odosielateľovi. Je teda možné sa uistiť, že verejný kľúč patrí tomuto konkrétnemu odosielateľovi, ak sa nájde certifikát, ktorý: · má kryptograficky platný podpis jeho vydavateľa;
Potvrdzuje vzťah medzi menom odosielateľa a verejným kľúčom odosielateľa;
Vydané dôveryhodnou certifikačnou autoritou.
Ak sa nájde certifikát verejného kľúča takéhoto odosielateľa, potom je možné overiť pravosť tohto certifikátu pomocou verejného kľúča certifikačnej autority.
Vynára sa však otázka kontroly vlastníctva verejného kľúča tejto certifikačnej autorite. Musíte nájsť certifikát potvrdzujúci pravosť tejto certifikačnej autority. V procese kontroly certifikátu teda dochádza k pokroku na certifikačnej ceste. Na konci reťazca certifikátov, ktorý vedie od certifikátu verejného kľúča odosielateľa cez viacero CA, je certifikát vydaný CA, ktorý má plnú dôveru. Takýto certifikát sa nazýva dôveryhodný koreňový certifikát, pretože tvorí koreň (najvyšší uzol) v hierarchii identity verejného kľúča, ktorý je považovaný za dôveryhodný.
Ak existuje explicitná dôvera v daný dôveryhodný koreňový certifikát, potom existuje implicitná dôvera vo všetky certifikáty vydané dôveryhodným koreňovým certifikátom a všetky ním certifikované CA.
Sada dôveryhodných koreňových certifikátov, ktoré sú výslovne dôveryhodné, je jediná informácia, ktorú je potrebné získať spoľahlivým spôsobom. Tento súbor certifikátov je základom systému dôveryhodnosti a zdôvodnením spoľahlivosti infraštruktúry verejného kľúča.
Vo všeobecnosti je pri overovaní certifikátu potrebné skontrolovať nasledujúce polia certifikátu:
Typ certifikátu - certifikát je možné použiť v tomto režime.
· Platnosť - certifikát je momentálne platný.
Bezúhonnosť - digitálny podpis CA, ktorá vydala certifikát, je správny.
Legitimita - certifikát nebol zrušený.
· Dôvera - koreňový certifikát CA je prítomný v "dôveryhodných
koreňové CA“.
zákazy - CTL nezakazujú použitie certifikátu na túto úlohu.
ZÁKLADNÉ POJMY
KSKPEP
–Kvalifikovaný certifikát kľúča na overenie elektronického podpisu.
CEP- kvalifikovaný elektronický podpis.
Poskytovateľ kryptomien – prostriedky ochrany kryptografická ochrana informácií.Program, pomocou ktorého sa generuje uzavretá časť elektronického podpisu a ktorý umožňuje prácu s elektronickým podpisom. Toto začiarkavacie políčko je nastavené automaticky.
Exportovaný kľúč – možnosť skopírovať elektronický podpis na iné médium. Ak nie je začiarknuté, kopírovanie elektronického podpisu nebude možné.
Lakovanie- ľavé tlačidlo myši.
PKM- pravé tlačidlo myši.
CRM-AGENT- aplikácia vyvinutá špecialistami CA na zjednodušenie postupu pri generovaní páru kľúčov, vytváraní požiadavky a zápise certifikátu.
Po návšteve certifikačného centra a absolvovaní procedúry overenia identity CA poslala na e-mail, ktorý ste uviedli v prihláške, list s odkazom na vygenerovanie. Ak ste nedostali listy, kontaktujte svojho manažéra alebo technickú podporu CA pomocou kontaktného čísla z tejto príručky.
Otvorte odkaz na vygenerovanie z e-mailu v jednom z odporúčaných prehliadačov:Google Chrome, Mozilla Firefox, Prehliadač Yandex... Ak ste už v niektorom z vyššie uvedených prehliadačov, kliknite na odkaz Lakovanie alebo PKM> „Otvoriť odkaz na novej karte“. V novom okne sa otvorí stránka generovania (obr. 1).
Po otvorení odkazu sa zobrazí úvodné upozornenie. Skontrolujte, či na uloženie CEP používate nosič.Jacarta LT ... Viac o médiách sa dozviete vnižšie. Ak používate iné médium, kliknite na tlačidlo "Zavrieť".
Obr. 1 - Generačná stránka
Kliknite na odkaz"Stiahnuť aplikáciu" začať sťahovanie. Ak sa po kliknutí nič nestalo, kliknite na odkaz PKM > "Otvoriť odkaz na novej karte"... Po stiahnutí aplikácie spustite inštaláciu.
Pred stiahnutím programu sa odporúča vypnúť antivírusový softvér !
Počas procesu inštalácie « crm - agent » zobrazí sa správa so žiadosťou o prístup (obr. 2).
Obr. 2 - Požiadavka na prístup
Kliknite na tlačidlo "Áno".
Po dokončení inštalácie aplikácie sa vráťte na stránku s generovaním. Zobrazí sa správa o „Udelení prístupu“ (obr. 3).
Obr. 3 - Prístup do skladu certifikátov
Kliknite na "Ďalej" a v zobrazenom okne "Povoliť prístup"(obr. 4).
Obr. 4 - Prístup do úložiska certifikátov 2
Ak sa tlačidlo nezobrazí "Ďalej"
Ak po inštalácii aplikácie « crm - agent » , odkaz na stiahnutie aplikácie nezmizol, dôvodom môže byť, že váš bezpečnostný systém blokuje pripojenie.
Ak chcete situáciu odstrániť, musíte:
Zakážte antivírus nainštalovaný v počítači;
Otvorte novú kartu v prehliadači;
Zadajte adresu bez medzier do panela s adresou prehliadača - 127.0.0.1:90 - a ísť (stlačiťZadajte na klávesnici);
Keď sa zobrazí správa prehliadača "Vaše pripojenie nie je zabezpečené", pridajte stránku do výnimiek prehliadača. napr.Chrome: "dodatočné" - "Aj tak prejsť na stránku"... Pre ostatné prehliadače použite príslušné pokyny pre vývojárov.
Po zobrazení chybového hlásenia sa vráťte na stránku s generovaním a zopakujte bod 2 tohto návodu.
Ak nemáte predinštalovaných poskytovateľov šifrovania, po fáze udelenia prístupu sa objavia odkazy na stiahnutie CryptoPRO (obr. 5).
To je dôležité: Dodatok « crm - agent » zisťuje všetkých poskytovateľov šifrovania v počítači a ak ste nainštalovali iného CryptoPRO CSP program (napr.VipNET CSP ), požiadajte o konzultáciu špecialistov technickej podpory CA.
Kliknite na odkaz "CryptoPRO 4.0" na stránke generovania alebo na podobnom odkaze nižšie si stiahnite inštalačný súbor CryptoPRO do svojho počítača.
CryptoPro CSP 4.0 - verzia pre OS Win 7/8/10
Po dokončení sťahovania otvortePSČ- archivovať pomocou vhodného archivačného programu (napr.Vyhrať - RAR ). Vo vnútri bude samotný inštalačný súbor CryptoPRO. Spustite ho a nainštalujte s predvolenými parametrami. Počas procesu inštalácie sa môže zobraziť nasledujúce okno:
Obr. 5 - Inštalácia CryptoPRO
Preskočte okno kliknutím "ďalej"... Inštalácia CryptoPRO je dokončená.
Podpisy môžu byť uložené v registri počítača, na bežných flash diskoch a na špeciálnychusb- žetóny. Zoznam tokenov, PIN kódov a odkazov na softvér je uvedený v tabuľke nižšie (Tabuľka 1).
Tabuľka 1 – Ovládače pre zabezpečené médiá
|
Typ média USB |
Vzhľad USB média |
Odkaz na stiahnutie ovládačov |
PIN |
|
ruToken |
 |