Saini ya elektroniki (hapa - ES), kulingana na Sheria ya Shirikisho ya Shirikisho la Urusi No. 63-FZ ya Machi 25, 2011 "Kwenye Sahihi ya Kielektroniki", inafafanuliwa kama habari katika fomu ya elektroniki ambayo imeambatanishwa na habari nyingine katika fomu ya elektroniki ( habari iliyotiwa saini) au vinginevyo inayohusishwa na habari kama hiyo na ambayo hutumiwa kutambua mtu anayetia saini habari hiyo. Kitendo hiki cha udhibiti kilichukua nafasi ya Sheria ya Shirikisho ya Shirikisho la Urusi No. 1-FZ ya Januari 10, 2002, "Kwenye Sahihi ya Dijiti ya Kielektroniki," ambayo ilipoteza nguvu yake ya kisheria mnamo Julai 1, 2013.
Sheria ya Machi 25, 2011 inatofautisha aina mbili za saini ya elektroniki: rahisi na kuimarishwa. Wa mwisho wanaweza kuwa na sifa au wasio na sifa. Ikiwa saini rahisi ya elektroniki inathibitisha tu kwamba ujumbe huu wa elektroniki ulitumwa na mtu maalum, basi saini ya elektroniki isiyo na nguvu iliyoimarishwa inaruhusu sio tu kutambua mtumaji wa kipekee, lakini pia kuthibitisha kuwa hakuna mtu aliyeibadilisha tangu hati hiyo isainiwe. Katika siku zijazo tutazungumza juu ya saini ya elektroniki iliyoimarishwa isiyo na sifa. Ujumbe ulio na saini ya elektroniki isiyostahili inaweza kulinganishwa na hati ya karatasi iliyosainiwa kwa mkono wa mtu mwenyewe, ikiwa wahusika wamekubaliana juu ya hili mapema, na pia katika kesi zinazotolewa mahsusi na sheria.
Kwa upande mmoja, saini ya elektroniki hutumiwa kuthibitisha uandishi wa hati - hii ni umuhimu wake kwa mtumaji wa hati. Kwa upande mwingine, saini ya elektroniki, ikiwa umuhimu wake wa kisheria unatambuliwa, inahakikisha kutokataa hati iliyosainiwa na mwandishi, ambayo kwa upande wake ni muhimu kwa mpokeaji wa hati. Katika tukio la hali ya utata, uchambuzi wa migogoro unaweza kufanywa kila wakati, ambayo itamtambulisha wazi mwandishi wa hati iliyosainiwa na kumlazimisha kubeba jukumu la hati iliyosainiwa.
Uchambuzi wa migogoro inayohusiana na saini za kielektroniki
Shida kuu wakati wa kuchambua mizozo katika hali ya michezo kulingana na hati zilizosainiwa na saini ya elektroniki ni uthibitisho wa ukweli kwamba "habari katika fomu ya elektroniki iliyoambatanishwa na habari nyingine katika fomu ya elektroniki (habari iliyosainiwa)" ni saini ya elektroniki muhimu ya kisheria. mtu chini ya hati maalum.
Matumizi ya njia za kriptografia hutuwezesha kutatua tatizo hili. Ikiwa mtu hupewa ufunguo wa kipekee wa elektroniki na kisha hufanya mabadiliko maalum kwa kutumia ufunguo huu wa elektroniki na hati ya elektroniki, basi matokeo ya mabadiliko haya (na hii ni saini ya elektroniki) itakuwa ya kipekee kwa jozi hii (hati ya ufunguo). Kwa hivyo, kazi ya hatua ya kwanza ya uchanganuzi wa migogoro - kutambua ikiwa saini iliyotolewa ilitolewa kwa kutumia ufunguo wa elektroniki au la - hutatuliwa kwa kutumia mbinu za cryptography.
Hatua ya pili ya utatuzi wa migogoro ni kuthibitisha kwamba ufunguo huu wa elektroniki ni mali ya mtu maalum. Ushahidi huu unaipa ES umuhimu wa kisheria. Ili kutatua tatizo hili la shirika - uhasibu kwa funguo zilizotolewa - PKI (miundombinu muhimu ya umma) hutumiwa.
Kuipa ES umuhimu wa kisheria kwa kutumia PKI
Sheria "Kwenye Sahihi ya Kielektroniki" inatofautisha kati ya ufunguo wa saini ya kielektroniki na ufunguo wa uthibitishaji wa saini ya kielektroniki. Ufunguo wa sahihi wa kielektroniki ni mfuatano wa kipekee wa vibambo vilivyoundwa ili kuunda sahihi ya kielektroniki Ufunguo wa uthibitishaji wa saini ya kielektroniki ni mfuatano wa kipekee wa vibambo vinavyohusishwa kipekee na ufunguo wa sahihi wa kielektroniki na unaokusudiwa kuthibitisha uhalisi wa sahihi ya kielektroniki. Kitufe cha uthibitishaji wa ES kinatokana na ufunguo wa ES, lakini operesheni ya kurudi nyuma haiwezekani. Kwa hivyo, kuna mawasiliano ya moja kwa moja kati ya ufunguo wa ES na ufunguo wa uthibitishaji wa ES. Kitufe cha ES lazima kiundwe na mteja mwenyewe na kuwekwa siri. Ni ufunguo huu ambao hutumiwa kusaini hati na saini ya elektroniki. Ufunguo wa uthibitishaji wa ES hutumika kuthibitisha ES na husambazwa kwa kila mtu anayetaka kuthibitisha sahihi.
Kipengele kikuu cha PKI ni Mamlaka ya Udhibitishaji. Kituo cha Udhibitishaji hudumisha rejista ya utiifu muhimu na watu ambao ni wamiliki wa funguo hizi. Ili kusajili ufunguo, mteja huchukua sehemu ya umma ya ufunguo wake kwa CA pamoja na data yake ya kitambulisho na hupokea cheti cha kufuata kinachothibitisha umiliki wake wa ufunguo huu maalum. Cheti cha Upatanifu kina ufunguo wa uthibitishaji wa saini ya kielektroniki na data ya kitambulisho cha mteja, na imetiwa saini na saini ya kielektroniki ya Mamlaka ya Uthibitishaji. Kwa hivyo, CA inathibitisha kuwa mteja amethibitishwa na ni yule anadai kuwa. Baada ya kupokea cheti, mteja, kwa upande wake, anasaini hati maalum juu ya uhalisi wa cheti kilichotolewa na saini yake mwenyewe ya mwongozo. Nyaraka hizi ni kiungo kikuu kati ya mtu maalum na "seti ya alama za elektroniki", saini yake ya elektroniki.
Kwa hivyo, cheti cha saini kinatosha kuthibitisha saini na kutambua saini. Hiyo ni, mtu aliyetia sahihi husaini hati kwa ufunguo wake wa saini ya dijiti, na kisha kutuma hati hii iliyotiwa saini na cheti chake kilicho na ufunguo wa uthibitishaji wa saini ya dijiti kwa mpokeaji. Kwa njia hii, mpokeaji ataweza kuthibitisha kuwa saini ilitengenezwa kwa ufunguo wa sahihi wa dijiti wa aliyetia sahihi na atapokea data ya utambulisho wa mtu aliyetia sahihi kutoka kwa cheti. Mteja lazima alinde ufunguo wake wa sahihi wa dijiti dhidi ya maelewano. Ni kwa kusudi hili kwamba hifadhi mbalimbali za ufunguo wa vifaa na kiwango cha kuongezeka cha ulinzi huundwa, kwa mfano, kifaa cha USB cha ruToken.
Kiwango cha ES cha Kirusi
Viwango vya saini za elektroniki ni ngazi mbili. Katika ngazi ya kwanza, saini ya elektroniki kutoka kwa hati iko moja kwa moja. Ngazi ya pili ina ES na nyaraka zote muhimu ili kutoa umuhimu wa kisheria wa ES: cheti cha saini au mlolongo wa vyeti, wakati saini iliundwa, nk.
Kiwango cha Kirusi cha ES cha ngazi ya kwanza ni GOST 34-10.2012. Kiwango cha Kirusi cha sahihi ya kielektroniki ya kiwango cha pili ni PKCS#7 yenye uwezo wa kuongeza mihuri ya muda ya TSA.
Maeneo ya matumizi ya ES
- Benki ya mtandao
- soko la kielektroniki
- mifumo ya usimamizi wa hati za ushirika
- Barua pepe
- kuwasilisha ripoti kwa huduma mbalimbali za shirikisho
- Hakimiliki
Tovuti yenye saini ya kielektroniki
Uundaji wa shida
Tuseme shirika lako limeamua kubadili mfumo wa kielektroniki wa usimamizi wa hati uliojengwa kwenye teknolojia za wavuti. Katika kesi hii, maeneo kuu ambayo ES inahitajika ni:
- Faili za ES za umbizo la kiholela zinapopakiwa kwenye tovuti na mtumiaji kupitia fomu ya ingizo
- ES ya data ya maandishi iliyoingizwa na mtumiaji kwenye fomu ya uingizaji kwenye tovuti
- Saini ya kielektroniki ya hati iliyowekwa kwenye wavuti na watumiaji kadhaa
- ulinzi wa kriptografia ya uhamisho wa data kati ya mahali pa kazi ya mtumiaji na tovuti
- uthibitishaji wa mtumiaji kwa kutumia cheti cha dijiti kufikia akaunti yake ya kibinafsi
- ulinzi wa kriptografia ya habari iliyohifadhiwa kwenye seva
Mchoro wa suluhisho
Kuunda Mamlaka ya Udhibitishaji
chagua seva ambayo Mamlaka ya Udhibitishaji itatumwa. Kwa hiari, huduma za muhuri wa nyakati na ukaguzi wa hali ya cheti mtandaoni zinaweza kutumwa. Ili kuokoa pesa, CA na huduma maalum zinaweza kutumia seva moja, ambayo inapaswa kupatikana mtandaoni. Tutajadili kufaa kwa huduma hizi hapa chini.
sasisha bidhaa ya MagPro CryptoPackage kwenye seva
unda kitufe cha CA na programu ya cheti cha mizizi ya CA kwa kutumia matumizi ya mkkey kutoka MagPro CryptoPackage. Kitufe kinaweza kuundwa kwenye kifaa salama, kwa mfano, kwenye ruToken. Baada ya kuunda ufunguo wa CA, ni muhimu kuhakikisha usalama wake kwa kutumia mbinu za shirika. Chaguo salama zaidi ni kuhifadhi ufunguo kwenye kifaa cha ruToken na kuunganisha kwenye seva tu wakati wa kutoa vyeti. Cheti cha CA ni faili. Faili hii baadaye itatolewa kwa wateja wote wa CA watakapopokea cheti.
tengeneza cheti cha CA kwa kutumia utumiaji wa openssl kutoka MagPro CryptoPacket.
unda muundo wa saraka katika mfumo wa faili ambao vyeti vya mtumiaji vilivyotolewa, vyeti vya seva iliyotolewa, na maombi ya vyeti yatahifadhiwa katika mfumo wa faili. Unapaswa kutumia mbinu za shirika (kwa mfano, kutumia ACL) ili kuhakikisha haki sahihi za ufikiaji kwa saraka hizi. Vyeti vitatolewa kama faili katika umbizo la PEM. Ikumbukwe kwamba ni bora kuweka wazi majina ya faili za cheti ili kurahisisha kazi ya kutafuta vyeti katika siku zijazo.
Inaunda ufunguo na maombi ya cheti cha PKCS#10
Ili kupata cheti na mtumiaji wa CA, mipango miwili inaweza kutumika: kati na kijijini. Kwa mpango wa kati, mtumiaji huja kwa CA na hupewa faili iliyo na ufunguo na cheti. Kisha anaweka faili hii kwenye gari la flash. Mpango huu ni rahisi na rahisi, lakini si salama, kwani inaruhusu wafanyakazi wa CA kujua ufunguo wa mtumiaji. Lakini katika idadi ya matukio matumizi ya mpango huu ni haki.
Mpango salama zaidi wa kupata cheti unasambazwa. Mtumiaji huunda ufunguo, huunda ombi la PKCS#10 la cheti, ambalo lina ufunguo wake wa uthibitishaji wa saini ya kielektroniki na data ya kitambulisho. Mtumiaji hutia sahihi programu hii kwa ufunguo wake wa sahihi wa dijiti na kuipeleka kwa CA. CA hukagua saini kwenye programu, inathibitisha data ya utambulisho wa mtumiaji, kwa mfano, na data ya pasipoti, na kutoa cheti. Kisha cheti kinachapishwa na mtumiaji anasaini hati inayothibitisha kufuata cheti kilichotolewa na saini ya mwongozo.
Kama sehemu ya suluhisho linalojadiliwa, uundaji wa ufunguo na uundaji wa programu hufanywa kwa kutumia programu maalum kutoka kwa MagPro CryptoPacket. Mpango huu umejumuishwa kwenye kifurushi cha mtumiaji wa CryptoTunnel.
Mpango huu una mfumo rahisi wa usanidi ambao unaweza kuunda maombi ya aina tofauti kabisa za vyeti, kupanua seti ya kawaida ya taarifa ya kitambulisho, kuongeza majukumu na haki za mtumiaji kwa vyeti, kwa mfano, kuzuia upatikanaji wa rasilimali za mtandao; ongeza sifa mbalimbali kwenye programu.
Baada ya kuunda ufunguo, mtumiaji lazima ahakikishe kuwa umehifadhiwa kwa usalama
Aina za vyeti vya sahihi ya kielektroniki kwenye tovuti ya WEB
Tovuti yetu itatumia aina kadhaa za vyeti:
Hati ya mizizi ya CA
Cheti hiki kinatumika kuthibitisha vyeti vingine vyote vya washiriki wa tovuti ya Tovuti.
Cheti cha uthibitishaji wa seva ya TLS
Cheti hiki kinatumika kuthibitisha seva na mteja wakati wa kuunda muunganisho salama wa TLS wakati wa kuhamisha hati zilizosainiwa kwa tovuti.
Cheti cha uthibitishaji cha mteja wa TLS
Cheti hiki kinatumika kuthibitisha mteja na seva na kwa upatikanaji wa mteja kwa akaunti yake ya kibinafsi wakati wa kuunda muunganisho salama wa TLS wakati wa kuhamisha hati zilizosainiwa kwenye tovuti.
cheti cha saini ya kielektroniki ya mteja
Mteja huongeza cheti hiki kwenye sahihi yake ya kielektroniki, na kwa hivyo mhusika anaweza kuthibitisha sahihi na kumtambua aliyetia sahihi.
Cheti cha kutia saini kwa seva ya OCSP
Na cheti hiki, seva ya OCSP inakiongeza kwenye jibu lake lililotiwa saini ili kukithibitisha
Cheti cha kutia saini kwa seva ya TSA
Kwa cheti hiki, seva ya TSA inakiongeza kwenye jibu lake lililotiwa saini ili kukithibitisha na kukipa umuhimu wa kisheria.
Aina hizi zote za vyeti zinaweza kuundwa kwa kutumia matumizi kutoka kwa MagPro CryptoPacket na CA kulingana na MagPro CryptoPacket.
Kupata cheti kutoka kwa CA
Wakati wa kupokea maombi kutoka kwa mtumiaji, msimamizi wa CA huunda nakala rudufu ya programu yake. Kisha inakagua programu na, kwa kutumia matumizi ya openssl, huunda cheti cha mtumiaji, saini kwenye ufunguo wa CA na pia inahakikisha nakala yake. Kwa kuongeza, ili kuhakikisha uhalali wa kisheria, msimamizi huchapisha taarifa kutoka kwa cheti (maelezo haya yanapatikana kwa kutumia huduma ya openssl.exe) na hupokea saini ya mwongozo ya mtumiaji chini ya uchapishaji huu. Kisha humpa mtumiaji cheti chake katika faili.
Kwa hiyo, kwa sasa tuliweza kupeleka CA na kujifunza jinsi ya kuunda funguo za mtumiaji, kukubali maombi ya vyeti kutoka kwao na kutoa vyeti kulingana na maombi yaliyopokelewa. Mtumiaji anaidhinisha kupokea na kufuata cheti kwa sahihi yake mwenyewe, na kwa hivyo inaweza kubishaniwa kuwa tumetuma PKI ambayo inahakikisha umuhimu wa kisheria wa sahihi ya kielektroniki ya mtumiaji.
Kazi inayofuata ni kutumia PKI iliyotumika kutatua tatizo la maombi - kuandaa uhamisho salama wa hati za elektroniki zilizosainiwa kwenye Wavuti kwa kutumia kivinjari na kuzipokea kwa usindikaji kwenye Wavuti.
Uthibitishaji wa saini ya kielektroniki na moduli ya uhifadhi (seva)
Kawaida tovuti hutumwa kwenye seva fulani ya wavuti (Apache, IIS, nginx, nk). Tovuti hii ina akaunti ya kibinafsi kwa kila mtumiaji ambaye amesajiliwa kwenye tovuti. Ili kufikia akaunti yako ya kibinafsi, mtumiaji lazima apitie utaratibu wa uthibitishaji. Kwa kawaida, uthibitishaji unajumuisha kuingiza jina la mtumiaji na nenosiri lililokubaliwa wakati wa kusajili mtumiaji.
Kwa kuongeza, fomu ya pembejeo ya mtandao hutumiwa kupakia nyaraka za elektroniki kwenye seva.
Ili "kuambatisha" uthibitishaji wa saini ya elektroniki ya hati zilizopakiwa kwenye tovuti kwenye mfumo huu, ili kuhakikisha ulinzi wa miunganisho kati ya kivinjari cha mtumiaji na tovuti, na pia kuhakikisha uthibitishaji mkali wa cryptographic wa mtumiaji kufikia akaunti ya kibinafsi, bidhaa ya MagPro CryptoServer inapaswa kusakinishwa kwenye seva.
Suluhisho la usanifu litaonekana kama hii:
CryptoServer imesakinishwa mbele ya seva ya Wavuti iliyolindwa. Katika kesi hii, seva ya Wavuti imeundwa kwa njia ambayo inakubali miunganisho inayoingia tu kutoka kwa CryptoServer (angalia maagizo ya usanidi). CryptoServer inakubali miunganisho inayoingia ya HTTP, inasimbua na kuielekeza kwenye seva ya Wavuti. Kwa kuongeza, CryptoServer inaongeza kichwa cha X509-Cert kwa ombi la HTTP, ambalo hupeleka cheti cha digital cha mteja ambaye amepitisha utaratibu wa uthibitishaji. Cheti hiki kisha hutumika kumpa mteja ufikiaji wa akaunti yake ya kibinafsi. Kuangalia saini ya elektroniki chini ya hati zinazopitishwa, CryptoServer inajumuisha matumizi ya openssl, ambayo hukuruhusu kuangalia aina mbalimbali za saini, kupata cheti cha saini au mlolongo wa vyeti kutoka kwa bahasha ya PKCS # 7, nk. Kuangalia saini ya elektroniki, ukurasa wa wavuti wa kupokea hati lazima uite shirika hili.
Moduli ya kutengeneza EP (mteja)
Kazi kuu ya mtumiaji wakati wa kufikia Tovuti ni kupakia nyaraka za elektroniki na data ya maandishi kwenye tovuti, na pia kupakua nyaraka za elektroniki kutoka kwenye tovuti. Ili kulinda muunganisho wa wavuti kwenye tovuti kupitia itifaki ya SSL/TLS na kutia sahihi data mtandaoni inayotumwa kwenye tovuti, CryptoTunnel inapaswa kutumika kwenye kituo cha kazi cha mteja.
Faida kuu za CryptoTunnel:
- hutoa ulinzi kwa miunganisho ya wavuti kati ya kivinjari na tovuti yoyote kwa kutumia itifaki ya SSL/TLS na usaidizi wa algoriti za kriptografia za Kirusi.
- hukuruhusu kuthibitisha mtumiaji kwa kutumia cheti cha dijiti kufikia akaunti ya kibinafsi ya mtumiaji
- hukuruhusu kusaini hati mtandaoni zinapopakiwa kwenye tovuti bila kutumia CSP na Active X
- inasaidia ukaguzi wa hali ya cheti mtandaoni (OCSP)
- inasaidia kupata alama za nyakati zinazoaminika chini ya sahihi za kielektroniki (TimeStamp)
- inasaidia tokeni mbalimbali za USB na kadi mahiri za kuhifadhi vitufe
- hauhitaji usakinishaji kwenye tovuti za mtumiaji, kusambazwa kwa kunakili
- inaweza kuhifadhiwa kwenye gari la kawaida la flash na kukimbia kutoka humo
- hauhitaji haki za msimamizi wa mfumo kufanya kazi
- inasaidia kufanya kazi na kivinjari chochote cha wavuti (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Apple Safari, n.k.)
- "haijafungwa" kwa kompyuta moja - mtumiaji anaweza kutumia seti moja kwa matumizi ya ofisi na nyumbani - kuokoa pesa.
- ina kiolesura rahisi na angavu cha mtumiaji, ambacho huondoa hitaji la mafunzo ya watumiaji
- hukuruhusu kupunguza gharama ya usaidizi wa kiufundi kwa watumiaji
- inaweza kukimbia kwenye anuwai ya mifumo ya uendeshaji (suluhisho la jukwaa-msalaba)
Haya ni matendo YOTE ambayo yanahitajika kufanywa ili CryptoTunnel ianze kutia sahihi data na faili zinazotumwa kupitia fomu ya Wavuti. Hakuna haja ya kuandika maandishi yoyote ya ziada, piga simu Active X, nk.
Shirika la EP nyingi
ES nyingi zinahitajika ikiwa hati lazima isainiwe na watu kadhaa. Katika kesi hii, hati kawaida huwekwa kwenye tovuti kwa namna ambayo inapatikana tu kwa watumiaji ambao saini ya elektroniki inahitajika. Utengano huu wa ufikiaji unahakikishwa na uthibitishaji wa mtumiaji kwa kutumia cheti cha dijiti.
Unapotumia CryptoTunnel, mtumiaji hatalazimika kupakua hati, na kisha saini na kupakia hati kwenye seva tena - CryptoTunnel itafanya shughuli hizi zote moja kwa moja unapobofya kifungo kwenye ukurasa wa wavuti.
Huduma ya OCSP
Mara nyingi hutokea kwamba CA inabatilisha cheti cha mtumiaji (kwa mfano, ikiwa ufunguo wa mtumiaji uliibiwa na mshambulizi). Wakati huo huo, watumiaji wengine lazima waarifiwe kuhusu kubatilishwa kwa cheti hiki ili wasiamini tena. Kuna njia kadhaa za kuwaarifu watumiaji kuhusu ukaguzi.
Njia rahisi ni kusambaza orodha za ubatilishaji (CRLs). Hiyo ni, CA inaunda na kusasisha mara kwa mara faili maalum, ambayo watumiaji pia hupakua mara kwa mara.
Njia nyingine ni kutumia huduma ya kuangalia hali ya cheti mtandaoni - huduma ya OCSP. Ili kuangalia hali ya cheti chochote, CryptoTunnel na CryptoServer huzalisha ombi la OCSP kiotomatiki na kutuma ombi hili kwa huduma kupitia mtandao. Huduma huthibitisha cheti, hutia saini matokeo ya uthibitishaji wa sahihi yake ya kielektroniki, na kurudisha jibu kwa mteja. Mteja huangalia jibu, huangalia saini iliyo chini yake na kuamua ikiwa ataamini cheti hiki au la.
Kuunda huduma ya OCSP inawezekana kwa kutumia matumizi ya openssl kutoka MagPro CryptoPacket. Inapaswa kukumbushwa katika akili kwamba chaguo kati ya CRL na OCSP daima ni kwa hiari ya waundaji wa tovuti. CRL ni nafuu kidogo, OCSP ni salama zaidi.
Ikumbukwe kwamba CryptoTunnel na CryptoServer inasaidia wote OCSP na CRL.
Huduma ya Muhuri wa Muda wa TSA
Kusudi kuu la huduma ya muhuri wa wakati ni kudhibitisha ukweli kwamba hati hiyo ilisainiwa na saini ya kielektroniki kabla ya muda uliowekwa kwenye muhuri wa muda.
Ili kuunda muhuri wa muda, CryptoTunnel huunda ombi la TSA, ambalo huweka hashi kutoka kwa saini ya elektroniki; hutuma ombi hili kwa TSA. Huduma ya TSA huongeza muda wa sasa kwa heshi hii na kusaini matokeo kwa sahihi yake ya kielektroniki. Hii huunda muhuri wa wakati unaoaminika.
Ili kuunda huduma ya muhuri ya muda inayoaminika mtandaoni, unapaswa kutumia bidhaa ya TSA MagPro. Katika hali hii, URL ya huduma ya muhuri wa muda imewekwa na ukurasa wa Wavuti ambapo fomu ya sahihi ya Wavuti iko
Sehemu ya mteja wa TSA imejengwa ndani ya CryptoTunnel. Wakati wa kupokea muhuri wa muda kwenye sahihi ya dijiti, vitendo vyote hufanywa kiotomatiki, bila kuhusika kwa mtumiaji.
Msuluhishi
Msuluhishi ni programu maalum ambayo hutumiwa kutatua migogoro kulingana na saini za kielektroniki.
Msuluhishi hukuruhusu kuibua utambulisho wa cheti kilicho katika saini ya PKCS#7; taswira mlolongo wa uaminifu na wakati wa kuundwa kwa saini ya elektroniki (TimeStamp). Ili kutatua mzozo huo, Msuluhishi huangalia saini chini ya hati iliyoainishwa na kuamua ikiwa ilifanywa na mmiliki wa cheti.
Ikumbukwe kwamba ili kuwa na uwezo wa kuchambua migogoro, nyaraka na saini zao zinapaswa kuhifadhiwa kwenye kumbukumbu ya elektroniki kwa muda mrefu.
Ulinzi wa data ya kibinafsi kwenye wavuti
Data iliyobadilishwa kati ya kivinjari cha mteja na tovuti inaweza kuwa na data ya kibinafsi na maelezo ya siri. Ikiwa watumiaji wote wa tovuti wana nia ya kulinda habari za siri, basi ulinzi wa data ya kibinafsi ni hitaji la Sheria ya Shirikisho 152-FZ "Kwenye Data ya Kibinafsi".
Wakati wa kutumia tovuti, data iko hatarini inapotumwa kwenye Mtandao na wakati wa uhifadhi wake zaidi kwenye seva ya tovuti.
Ulinzi wakati wa maambukizi kati ya mteja na seva
Mtandao ni njia isiyo salama ya kusambaza habari. Tishio kuu wakati wa kusambaza data kwenye mtandao ni shambulio la "mtu katikati", yaani, mshambuliaji huunganisha kwenye mstari kati ya mteja na seva na kuchukua nafasi ya habari iliyopitishwa. Njia pekee ya kulinda data kwenye Mtandao ni kusimba data hiyo kwa njia fiche. Kwa kuwa usimbaji fiche ni njia ya siri ya kulinda habari, iko chini ya mahitaji ya FSB kwa njia za ulinzi wa habari za siri - uwepo wa cheti cha FSB.
Itifaki ya SSL/TLS inatumika kulinda kwa siri miunganisho kati ya kivinjari cha mtumiaji na Tovuti (miunganisho ya Wavuti). "CryptoTunnel" hutoa ulinzi wa data kwa kutumia itifaki hii ambayo inazingatia kikamilifu mahitaji ya FSB. Kwa hivyo, "CryptoTunnel" ni suluhisho la kuthibitishwa ambalo linakidhi kikamilifu mahitaji ya njia za kiufundi za kulinda data ya kibinafsi.
Ulinzi wa uhifadhi
Wakati wa kuhifadhi data katika kumbukumbu ya kielektroniki ya tovuti, data hii lazima ihifadhiwe katika fomu iliyosimbwa. Kuunda kumbukumbu salama ya kielektroniki ni mada ya nakala tofauti.
1. Mchakato wa kusaini hati. Algorithm ya uthibitishaji wa saini za kielektroniki
Mchakato wa kusaini hati ni kama ifuatavyo. Katika hatua ya kwanza, kazi maalum (kazi ya hash) inajengwa, kukumbusha checksum inabainisha yaliyomo kwenye waraka ("digest" ya hati imeundwa). Katika hatua ya pili, mwandishi wa hati husimba yaliyomo kwenye kazi ya hashi na ufunguo wake wa kibinafsi. Heshi iliyosimbwa kwa njia fiche imewekwa katika ujumbe sawa na hati yenyewe. Sahihi ya dijiti ni derivative ya "digest" na ufunguo wa kibinafsi wa kibinafsi, ambao unahakikisha upekee wake kabisa (ona Mchoro 14.1).
Mchele. 14.1 - Algorithm ya kutengeneza saini ya dijiti
Chaguo za kukokotoa za heshi zinazotumiwa katika algoriti lazima zikidhi mahitaji kadhaa, ambayo ni:
Ujumbe wa urefu wowote lazima ugeuzwe kuwa mfuatano wa binary
urefu uliowekwa;
Toleo la ujumbe la haraka linalotokana lazima litegemee kila sehemu ya ujumbe asilia na mpangilio wao;
Hakuna njia ya kurejesha toleo la haraka la ujumbe wenyewe.
ujumbe.
Algorithm ya uthibitishaji wa saini za kielektroniki
Algorithm ya uthibitishaji wa saini ya kielektroniki ni kama ifuatavyo. Katika hatua ya kwanza, mpokeaji ujumbe huunda toleo lake mwenyewe la kazi ya hashi ya hati iliyosainiwa.
Katika hatua ya pili, kipengele cha kukokotoa cha heshi kilicho katika ujumbe kinasimbwa kwa kutumia ufunguo wa umma wa mtumaji. Hatua ya tatu inalinganisha kazi mbili za hashi. Sadfa yao inathibitisha uhalisi wa yaliyomo katika hati na uandishi wake (tazama Mchoro 14.2).
Mchele. 14.2 - uthibitishaji wa EDS
Sahihi ya kielektroniki ya dijiti, kama data nyingine yoyote, inaweza kuhamishwa pamoja na
iliyosainiwa, ambayo ni, data iliyolindwa nayo. Kwa kuongeza, saini ya digital inakuwezesha kuhakikisha kuwa data haijabadilishwa (kwa bahati mbaya au kwa makusudi) wakati wa kusambaza kwa mpokeaji.
Usimbaji fiche na sahihi ya kielektroniki inaweza kutumika pamoja kwa mafanikio. Unaweza kwanza kutia sahihi hati kwa kutumia ufunguo wako wa kibinafsi, na kisha usimbe kwa njia fiche kwa ufunguo wa umma wa mpokeaji. Sahihi inathibitisha utambulisho, usimbaji fiche hulinda herufi kutoka kwa macho ya kutazama.
2. Uthibitishaji
Usimbaji fiche wa ufunguo wa umma hutoa utambulisho salama uliosambazwa, uthibitishaji na huduma za uidhinishaji. Matatizo ya aina hii hutokea wakati wowote somo (mtumiaji wa mfumo) anapata habari. Hasa, wakati wa kuunganisha mteja kwenye seva kwenye kituo cha wazi (Mtandao). Data ya kitambulisho cha mteja na seva iko katika vyeti muhimu vya umma vinavyolingana vinavyotolewa na mamlaka moja ya uidhinishaji au mamlaka ya uthibitishaji kutoka kwa daraja sawa. Kwa hivyo, mteja anapounganisha kwenye seva, kitambulisho cha pande zote kinaweza kufanywa.
Uthibitishaji—kuangalia kwamba kitambulisho kilichowasilishwa kwa mteja au seva ni chake— kinaweza kutekelezwa kwa misingi ya PKI na vyeti vya ufunguo vya umma vinavyolingana.
Uthibitishaji unawezekana kwa njia kadhaa.
1. Seva hutuma mteja ombi la uthibitishaji lililosimbwa kwa njia fiche kwa ufunguo wa umma wa mteja uliopatikana kutoka kwa cheti cha ufunguo wa umma wa mteja. Mteja huondoa ombi kwa ufunguo wake wa kibinafsi na kurudisha kwa seva, na hivyo kuthibitisha kuwa yeye ndiye mmiliki wa ufunguo wa kibinafsi unaofanana, na, kwa hiyo, data ya kitambulisho katika cheti ni yake.
2. Seva hutuma ombi wazi la uthibitishaji wa maandishi. Mteja hujibu ombi kwa kutia saini kwa saini yake ya kielektroniki ya dijiti.
Seva huthibitisha sahihi ya dijiti ya mteja kwa kutumia ufunguo wa umma uliopatikana kutoka kwa cheti cha ufunguo wa umma wa mteja na inahakikisha kuwa mteja ana ufunguo wa kibinafsi unaolingana.
Mpango uliofafanuliwa unaitwa itifaki ya uthibitisho wa kumiliki, kwani mtumaji anathibitisha kuwa anamiliki ufunguo wa siri wa kibinafsi unaohitajika kwa kufutwa na kuunda saini ya dijiti ya elektroniki.
3. Kujadili ufunguo wa siri wa kipindi cha pamoja Usimbaji fiche wa vitufe vya umma pia huruhusu pande mbili kukubaliana juu ya ufunguo wa kikao cha siri kilichoshirikiwa wakati wa kubadilishana habari kwenye njia zisizo salama za mawasiliano.
Mpango wa kutengeneza ufunguo wa kikao cha pamoja ni kama ifuatavyo. Kwanza, mteja na seva kila mmoja hutoa nambari moja ya nasibu, ambayo hutumiwa kama nusu ya ufunguo wao wa siri wa kikao cha pamoja. Kisha mteja hutuma seva nusu yake ya ufunguo wa faragha, iliyosimbwa kwa ufunguo wa umma uliopatikana kutoka kwa cheti cha ufunguo wa umma wa seva. Seva hutuma mteja nusu yake, iliyosimbwa kwa ufunguo wa umma uliopatikana kutoka kwa cheti cha ufunguo wa umma wa mteja. Kila chama kinasimbua ujumbe uliopokewa kwa kukosa nusu ya ufunguo wa siri, na kuunda ufunguo wa siri ulioshirikiwa kutoka kwa nusu hizi mbili. Baada ya kukamilisha itifaki kama hiyo, wahusika wanaweza kutumia ufunguo wa siri ulioshirikiwa kusimba ujumbe unaofuata.
4. Usimbaji fiche bila kwanza kubadilishana ufunguo wa siri linganifu Teknolojia ya usimbaji fiche ya ufunguo wa umma hukuruhusu kusimba kiasi kikubwa cha data ikiwa wahusika wanaobadilishana habari hawana ufunguo wa kawaida wa usimbaji wa ufunguo wa umma unahitaji rasilimali nyingi zaidi za kompyuta kuliko algoriti linganifu, kwa hivyo hazifai kwa usimbaji wa data nyingi. Hata hivyo, inawezekana kutekeleza mbinu iliyounganishwa kwa kutumia usimbaji fiche wa ulinganifu na usimbaji fiche wa ufunguo wa umma.
Kwanza, algorithm ya usimbuaji na ufunguo wa siri huchaguliwa (GOST 28147-89, DES, nk), kisha ufunguo wa kikao cha random huundwa, ambacho kitatumika kusimba data. Kisha mtumaji husimba ufunguo huu wa kipindi kwa njia fiche kwa kutumia ufunguo wa umma wa mpokeaji. Kisha hutuma ufunguo uliosimbwa na data iliyosimbwa kwa mpokeaji. Kwa kutumia ufunguo wake wa kibinafsi, mpokeaji anasimbua ufunguo wa kipindi na kuutumia kusimbua data.
Uthibitishaji wa uaminifu wa sahihi wa dijitali
Wakati wa kupokea ujumbe uliotiwa saini na saini ya kielektroniki, swali la uaminifu katika sahihi hii hutokea (ikiwa sahihi hii ya dijiti ni ya mtumaji wa ujumbe). Uadilifu wa sahihi unaweza kuthibitishwa kwa kutumia ufunguo wa umma unaojulikana wa mtumaji na algoriti za kriptografia. Hata hivyo, ni muhimu kuhakikisha kwamba ufunguo wa umma unaotumiwa kwa uthibitishaji ni wa mhusika ambaye jina lake limetiwa saini na ujumbe.
Ikiwezekana kupata cheti cha ufunguo wa umma cha mtumaji kilichotolewa na CA inayoaminika, basi inawezekana kupata cheti cha kushawishi.
uthibitisho kwamba ufunguo wa umma wa mtumaji hakika ni wa mtumaji. Kwa hivyo, unaweza kuthibitisha kuwa ufunguo wa umma ni wa mtumaji fulani ikiwa cheti kitapatikana kuwa: · kina sahihi ya kriptografia kutoka kwa mtoaji wake;
Inathibitisha uhusiano kati ya jina la mtumaji na ufunguo wa umma wa mtumaji;
Imetolewa na mamlaka ya uthibitishaji inayoaminika.
Ikiwa cheti kama hicho cha ufunguo wa umma cha mtumaji kimepatikana, uhalali wa cheti hiki unaweza kuthibitishwa kwa kutumia ufunguo wa umma wa mamlaka ya uthibitishaji.
Hata hivyo, swali hutokea la kuthibitisha kwamba ufunguo wa umma ni wa mamlaka fulani ya uidhinishaji. Unahitaji kupata cheti ambacho kinathibitisha uhalali wa mamlaka hii ya uthibitishaji. Kwa hivyo, wakati wa mchakato wa uthibitishaji wa cheti, maendeleo kando ya mlolongo wa cheti (njia ya uthibitisho) hufanyika. Mwishoni mwa msururu wa vyeti, kutoka kwa cheti cha ufunguo wa umma cha mtumaji kupitia idadi ya mamlaka ya uthibitishaji, kuna cheti kilichotolewa na CA ambacho kinaaminika kikamilifu. Cheti kama hicho huitwa cheti cha msingi kinachoaminika kwa sababu huunda mzizi (nodi ya juu kabisa) katika safu ya mahusiano ya utambulisho wa ufunguo wa umma ambayo huchukuliwa kuwa ya kuaminiwa.
Iwapo kuna uaminifu wa wazi katika cheti fulani cha msingi kinachoaminika, basi kuna uaminifu kamili katika vyeti vyote vinavyotolewa na cheti cha mizizi kinachoaminika na CA zote zilizoidhinishwa nacho.
Seti ya vyeti vya mizizi vinavyoaminika ambavyo vinaaminika kwa uwazi ndiyo taarifa pekee inayohitaji kupatikana kwa njia ya kuaminika. Seti hii ya vyeti ni msingi wa mfumo wa uaminifu na uhalali wa kuaminika kwa miundombinu muhimu ya umma.
Kwa ujumla, wakati wa kuthibitisha cheti, unahitaji kuangalia nyanja zifuatazo za cheti:
· Aina ya cheti - cheti kinaruhusiwa kutumika katika hali hii.
· Uhalali - Cheti ni halali kwa sasa.
· Uadilifu - Sahihi ya dijitali ya CA iliyotoa cheti ni sahihi.
· Uhalali - cheti hakijabatilishwa.
· Kujiamini - cheti cha CA cha mizizi kipo kwenye duka la "kuaminiwa".
mizizi CA".
· Marufuku - CTL hazikatazi matumizi ya cheti kwa kazi fulani.
DHANA ZA MSINGI
KSKPEP
- cheti cha ufunguo wa uthibitishaji wa saini ya elektroniki iliyohitimu.
CEP- saini ya elektroniki iliyohitimu.
Mtoa huduma wa Crypto – njia ya kulinda usalama wa habari ya kriptografia Mpango kwa msaada ambao sehemu iliyofungwa ya saini ya elektroniki inazalishwa na ambayo inakuwezesha kufanya kazi na saini ya elektroniki. Kisanduku hiki cha kuteua kinateuliwa kiotomatiki.
Ufunguo uliohamishwa – uwezo wa kunakili saini ya elektroniki kwa njia nyingine. Ikiwa hakuna alama ya kuangalia, kunakili saini ya kielektroniki haitawezekana.
LMB- kitufe cha kushoto cha panya.
RMB- kifungo cha kulia cha panya.
CRM-WAKALA- maombi iliyoundwa na wataalamu wa CA ili kurahisisha utaratibu wa kutengeneza jozi muhimu, kuunda ombi na kurekodi cheti.
Baada ya kutembelea kituo cha uthibitishaji na kupitia utaratibu wa uthibitishaji wa kitambulisho, CA ilituma barua iliyo na kiungo ili kuizalisha kwa anwani ya barua pepe uliyotaja kwenye programu. Ikiwa hujapokea barua, wasiliana na meneja wako au Kituo cha Usaidizi wa Kiufundi kwa kutumia nambari ya mawasiliano katika mwongozo huu.
Fungua kiunga cha kutengeneza kutoka kwa herufi katika mojawapo ya vivinjari vilivyopendekezwa:Google Chrome, Firefox ya Mozilla, Yandex.Browser. Ikiwa tayari uko kwenye mojawapo ya vivinjari vilivyo hapo juu, bofya kiungo LMB au RMB> "Fungua kiungo katika kichupo kipya." Ukurasa wa kizazi (Mchoro 1) utafungua kwenye dirisha jipya.
Unapofungua kiungo, onyo la awali litaonekana. Jifahamishe nayo ikiwa unatumia media kuhifadhi CEPJacarta LT . Soma zaidi kuhusu media kwenyechini. Ikiwa unatumia midia tofauti, bofya kitufe "Funga".
Kielelezo 1 - Ukurasa wa kizazi
Bofya kiungo"Pakua programu" kuanza kupakua. Ikiwa hakuna kinachotokea baada ya kubofya, bofya kiungo RMB > "Fungua kiungo kwenye kichupo kipya". Baada ya kupakua programu, endesha usakinishaji.
Inashauriwa kuzima programu ya antivirus kabla ya kupakua programu !
Wakati wa mchakato wa ufungaji wa programu « crm - wakala » ujumbe unaoomba ufikiaji utaonekana (Mchoro 2).
Mtini.2 - Ombi la ufikiaji
Bofya kitufe "Ndiyo".
Baada ya kusanikisha programu, rudi kwenye ukurasa wa kizazi. Ujumbe kuhusu "Kutoa ufikiaji" utaonekana (Mchoro 3).
Mtini.3 - Upatikanaji wa duka la cheti
Bofya "Endelea" na kwenye dirisha linaloonekana, "Ruhusu ufikiaji"(Mchoro 4).
Mtini.4 - Upatikanaji wa duka la cheti 2
Ikiwa kifungo hakionekani "Endelea"
Ikiwa baada ya kufunga programu « crm - wakala » , kiungo cha kupakua programu hakijapotea, sababu inaweza kuwa kwamba uunganisho umezuiwa na mfumo wako wa usalama.
Ili kutatua hali hiyo lazima:
Zima antivirus iliyowekwa kwenye kompyuta yako;
Fungua tabo mpya kwenye kivinjari;
Ingiza anwani kwenye upau wa anwani wa kivinjari bila nafasi - 127.0.0.1:90 - na uende (bonyezaIngiza kwenye kibodi);
Wakati ujumbe wa kivinjari unaonekana "Muunganisho wako sio salama", ongeza ukurasa kwa vighairi vya kivinjari. Kwa mfano,Chrome: "Ziada" - "Nenda kwenye tovuti hata hivyo". Kwa vivinjari vingine, tumia maagizo yanayofaa ya msanidi.
Baada ya ujumbe wa kosa kuonekana, rudi kwenye ukurasa wa kizazi na urudia Pointi 2 maagizo haya.
Ikiwa huna watoa huduma za crypto zilizowekwa awali, baada ya hatua ya kufikia, viungo vya kupakua CryptoPRO vitaonekana (Mchoro 5).
Ni muhimu: maombi « crm - wakala » hutambua watoa huduma wowote wa crypto kwenye kompyuta yako, na ikiwa umesakinisha tofauti CryptoPRO CSP programu (kwa mfano,VipNET CSP ), wasiliana na wataalamu wa usaidizi wa kiufundi wa CA kwa mashauriano.
Bofya kiungo "CryptoPRO 4.0" kwenye ukurasa wa kizazi au kiungo sawa hapa chini ili kupakua faili ya usakinishaji ya CryptoPRO kwenye kompyuta yako.
CryptoPro CSP 4.0 - toleo la OS Win 7 / 8 / 10
Baada ya kupakua kukamilika, funguazip-hifadhi kwa kutumia programu inayofaa ya kumbukumbu (kwa mfano,Shinda - RAR ) Ndani kutakuwa na faili ya usakinishaji ya CryptoPRO yenyewe. Iendesha na usakinishe na mipangilio chaguo-msingi. Wakati wa mchakato wa usakinishaji, unaweza kuona dirisha lifuatalo:
Fig.5 - Ufungaji wa CryptoPRO
Ruka dirisha kwa kubofya "Zaidi". Usakinishaji wa CryptoPRO umekamilika.
Saini zinaweza kuhifadhiwa kwenye Usajili wa kompyuta, kwenye anatoa za kawaida za flash na kwenye maalumUSB-ishara. Orodha ya ishara, misimbo ya siri na viungo vya programu vinawasilishwa kwenye jedwali hapa chini (Jedwali 1).
Jedwali 1 - Madereva kwa vyombo vya habari salama
|
Aina ya midia ya USB |
Muonekano wa kiendeshi cha USB |
Kiungo cha kupakua madereva |
Msimbo wa PIN |
|
ruToken |
 |