Инфраструктура открытых ключей как основа комплексной безопасности ЭДО

1. Электронный документооборот (ЭДО) обеспечивает взаимодействие субъектов - авторов электронных документов (ЭД) и пользователей посредством ЭД. С точки зрения безопасности базисными свойствами ЭДО являются аутентификация субъектов в системе ЭДО, авторизация и контроль целостности ЭД, конфиденциальность (опционально) ЭД. 

2. В качестве механизма, обеспечивающего защитные функции ЭДО, используется криптография, базирующаяся на Инфраструктуре открытых ключей (PKI). В состав криптографической подсистемы ЭДО входят базовые криптографические алгоритмы, ключевая система, криптографические протоколы аутентификации, авторизации и контроля целостности, строящиеся на базе сертификатов открытых ключей. Элементы ключевой системы PKI: закрытый ключ пользователя, открытый ключ пользователя, сертификат открытого ключа пользователя, закрытый ключ УЦ, открытый ключ УЦ, сертификат открытого ключа УЦ. Основные требования к ключам: конфиденциальность закрытых ключей и защищенность секретных ключей от подмены, авторизация открытого ключа и аутентификация пользователя и открытого ключа, защита ключей от компрометации, ограничение на сроки действия закрытых и открытых ключей. Криптографические протоколы УЦ должны обеспечивать регистрацию пользователей PKI, генерацию сертификатов открытых ключей пользователей, ведение базы сертификатов открытых ключей пользователей, ведение базы данных отозванных сертификатов открытых ключей, аутентификацию и установление защищённого канала между пользователем и УЦ.

3. Комплексная безопасность ЭДО обусловлена защитой от негативного воздействия (компрометация, подмена, изменение атрибутов и др.) на элементы PKI, перечисленные в п. 2. Специфика решения вопросов безопасности информации в ЭДО обусловлена необходимостью реализации средств защиты в универсальной аппаратно-программной среде функционирования информационной системы, вследствие чего средства защиты становятся элементами системы, обеспечивающей собственно информационные услуги. 

4. Широко используемой в настоящее время для реализации PKI является аппаратно-программная платформа Intel - Microsoft. Технология, поддерживаемая фирмой Microsoft, позволяет, с одной стороны, универсализировать процедуру обращения из прикладной среды к криптографическим преобразованиям, с другой - защитить криптографические алгоритмы и криптографические ключи средствами операционной среды. 

В этом направлении разработан криптопровайдер КриптоПро CSP, реализованный в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP) - и использующий российские криптографические алгоритмы. 

Криптопровайдер КриптоПро CSP сертифицирован ФАПСИ, обеспечивает защитные функции:

• авторизация и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94; 
• конфиденциальность и контроль целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89; 
• контроль целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования; 
• управление ключевыми элементами системы в соответствии с регламентом средств защиты; 
• сетевая аутентификация по стандарту RFC 2246 (протокол TLS), позволяющая обеспечить совместно с криптопровайдером КриптоПРО CSP взаимную аутентификацию клиента с сервером при создании сессии в общедоступной сети, контроль целостности и конфиденциальность передаваемой в созданной сессии информации.

Криптопровайдер КриптоПро CSP позволяет использовать стандартные криптогра-фические средства для реализации и использования решений, основанных на PKI, в частности:

• Центр Сертификации (MS Certification Authority)
• Инструментарий разработчика CryptoAPI 2.0
• Инструментарий разработчика CAPICOM 1.0
• Certificate Enrollment Control (xenroll)
• Microsoft Outlook
• Microsoft Outlook Express
• Microsoft Authenticode®

Использование криптопровайдера КриптоПро CSP позволяет решать вопросы обеспечения безопасности функционирования PKI как на уровне УЦ, так и на пользовательском уровне. 

Важным элементом PKI является стандартизация криптографических параметров и форматов их представления в сертификате открытого ключа. 

5. Существенным моментом в обеспечении безопасности в ЭДО является базирование PKI на протоколах обмена и защиты информации (TLS, HTTP, XML). Протокол TLS позволяет обеспечить криптографическими средствами аутентификацию отправителя (клиента) - адресата (сервера), контроль целостности и шифрование данных информационного обмена. Все компоненты системы PKI (интерактивные пользователи, программы без внешнего интерфейса), должны общаться между собой через глобальную сеть. Протоколы HTTP/HTTPS позволяют обеспечивать защиту передаваемого трафика межсетевыми экранами. При передаче запросов на сертификат и возвращении подписанных сертификатов и списков отзыва по протоколам HTTP/HTTPS должно использоваться расширяемое представление передаваемых через http-запросы GET или POST документов. Для этого могут быть использованы запросы и ответы в формате XML.

6. Наибольшая нагрузка по обеспечению безопасности в системе сертификации открытых ключей ложится на: Удостоверяющий Центр (УЦ) как программный комплекс по обеспечению PKI. УЦ имеет вполне сложившуюся архитектуру с основными функциональными компонентами - Служба сертификации (Certification Services, CS), Центр регистрации (ЦР), АРМ администратора УЦ. CS обеспечивает выпуск сертификатов и списков отозванных сертификатов, владеет закрытым ключом УЦ, работает, как правило, в автономном режиме. ЦР (веб приложение) обеспечивает формирование ключей ЦР и пользователей, доставку сертификатов ЦР и УЦ пользователям, централизованную регистрацию пользователей в ЦР и по сети, централизованное формирование ключей и запросов на сертификаты пользователей с учетом данных регистрации, сетевой доступ пользователей к базам сертификатов и спискам отозванных сертификатов, подпись и передачу запросов на сертификаты пользователей в УЦ и другие функции по функционированию PKI. Для выполнения требований по п.2 в УЦ должен быть реализован комплекс программных, программно-технических и организационных мер обеспечения безопасности. ООО "КриптоПро" разработал и эксплуатирует удостоверяющий центр "КриптоПро УЦ" на договорной основе с организациями-пользователями (сайт http://cryptopro.ru). В удостоверяющем центре используется криптопровайдер "КриптоПро CSP", сертифицированный по классу защиты КС2 классификации ФАПСИ. Функционирование центра базируется на ОС MS Windows и стандартных средствах фирмы Microsoft MS CertificationAuthority, CryptoAPI 2.0, CAPICOM 1.0, Certificate Enrollment Control (xenroll), Microsoft Outlock, Microsoft Outlock Express, Microsoft Autenticode®.

7. Обеспечение безопасности УЦ связано с решением следующих проблем:

• защита закрытых ключей УЦ и пользователей от НСД;
• доверие к системному и прикладному программному обеспечению;
• защита функционирования УЦ от негативных воздействий по каналу связи;
• защита функционирования УЦ от негативных воздействий внутренних нарушителей с тем или иным уровням доступа к его программно-аппаратным компонентам и ключам. 

В каждом конкретном случае необходимы выбор и реализация достаточного профиля защиты. Критической является проблема хранения закрытых ключей в условиях работы в не доверенной системной среде. Пути ее решения - локализация криптографических преобразований в обособленном доверенном модуле с контролируемым взаимодействием его с CS, ролевое администрирование УЦ с разделением информации о ключах по нескольким его субъектам, разграничение доступа к компонентам системы обслуживающего персонала, исключение алгоритмическими и техническими мерами информативности о ключах по сигналам линейной передачи и ПЭМИН, организационно-технические и режимные меры по защите программно-аппаратных средств и помещений размещения УЦ. 

8. Вопросы обеспечения безопасности системы PKI решаются на основе законодательной и нормативной базы в области защиты информации. К законодательной базе в первую очередь относятся:

• закон РФ "Об информации, информатизации и защите информации",
• закон РФ "Об электронной цифровой подписи".
• государственная система сертификации продуктов защиты данных и лицензирования деятельности по представлению услуг в области защиты информации.

К нормативной базе относятся:

• стандарты криптографической защиты данных
• требования ФАПСИ по защите информации.
• требования и положения Гостехкомиссии РФ к средствам защиты информации от НСД.

Попов Владимир Олегович, руководитель сертифицирующего центра компании Крипто Про, к.ф.м.н.;

Опубликовано: Всероссийская конференция "Автоматизация делопроизводства и электронный документооборот в органах власти"