Инфраструктура открытых ключей как основа комплексной безопасности ЭДО
1. Электронный документооборот (ЭДО) обеспечивает взаимодействие субъектов - авторов электронных документов (ЭД) и пользователей посредством ЭД. С точки зрения безопасности базисными свойствами ЭДО являются аутентификация субъектов в системе ЭДО, авторизация и контроль целостности ЭД, конфиденциальность (опционально) ЭД.
2. В качестве механизма, обеспечивающего защитные функции ЭДО, используется криптография, базирующаяся на Инфраструктуре открытых ключей (PKI). В состав криптографической подсистемы ЭДО входят базовые криптографические алгоритмы, ключевая система, криптографические протоколы аутентификации, авторизации и контроля целостности, строящиеся на базе сертификатов открытых ключей. Элементы ключевой системы PKI: закрытый ключ пользователя, открытый ключ пользователя, сертификат открытого ключа пользователя, закрытый ключ УЦ, открытый ключ УЦ, сертификат открытого ключа УЦ. Основные требования к ключам: конфиденциальность закрытых ключей и защищенность секретных ключей от подмены, авторизация открытого ключа и аутентификация пользователя и открытого ключа, защита ключей от компрометации, ограничение на сроки действия закрытых и открытых ключей. Криптографические протоколы УЦ должны обеспечивать регистрацию пользователей PKI, генерацию сертификатов открытых ключей пользователей, ведение базы сертификатов открытых ключей пользователей, ведение базы данных отозванных сертификатов открытых ключей, аутентификацию и установление защищённого канала между пользователем и УЦ.
3. Комплексная безопасность ЭДО обусловлена защитой от негативного воздействия (компрометация, подмена, изменение атрибутов и др.) на элементы PKI, перечисленные в п. 2. Специфика решения вопросов безопасности информации в ЭДО обусловлена необходимостью реализации средств защиты в универсальной аппаратно-программной среде функционирования информационной системы, вследствие чего средства защиты становятся элементами системы, обеспечивающей собственно информационные услуги.
4. Широко используемой в настоящее время для реализации PKI является аппаратно-программная платформа Intel - Microsoft. Технология, поддерживаемая фирмой Microsoft, позволяет, с одной стороны, универсализировать процедуру обращения из прикладной среды к криптографическим преобразованиям, с другой - защитить криптографические алгоритмы и криптографические ключи средствами операционной среды.
В этом направлении разработан криптопровайдер КриптоПро CSP, реализованный в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP) - и использующий российские криптографические алгоритмы.
Криптопровайдер КриптоПро CSP сертифицирован ФАПСИ, обеспечивает защитные функции:
- авторизация и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94;
- конфиденциальность и контроль целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
- контроль целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
- управление ключевыми элементами системы в соответствии с регламентом средств защиты;
- сетевая аутентификация по стандарту RFC 2246 (протокол TLS), позволяющая обеспечить совместно с криптопровайдером КриптоПРО CSP взаимную аутентификацию клиента с сервером при создании сессии в общедоступной сети, контроль целостности и конфиденциальность передаваемой в созданной сессии информации.
Криптопровайдер КриптоПро CSP позволяет использовать стандартные криптогра-фические средства для реализации и использования решений, основанных на PKI, в частности:
- Центр Сертификации (MS Certification Authority)
- Инструментарий разработчика CryptoAPI 2.0
- Инструментарий разработчика CAPICOM 1.0
- Certificate Enrollment Control (xenroll)
- Microsoft Outlook
- Microsoft Outlook Express
- Microsoft Authenticode®
Использование криптопровайдера КриптоПро CSP позволяет решать вопросы обеспечения безопасности функционирования PKI как на уровне УЦ, так и на пользовательском уровне.
Важным элементом PKI является стандартизация криптографических параметров и форматов их представления в сертификате открытого ключа.
5. Существенным моментом в обеспечении безопасности в ЭДО является базирование PKI на протоколах обмена и защиты информации (TLS, HTTP, XML). Протокол TLS позволяет обеспечить криптографическими средствами аутентификацию отправителя (клиента) - адресата (сервера), контроль целостности и шифрование данных информационного обмена. Все компоненты системы PKI (интерактивные пользователи, программы без внешнего интерфейса), должны общаться между собой через глобальную сеть. Протоколы HTTP/HTTPS позволяют обеспечивать защиту передаваемого трафика межсетевыми экранами. При передаче запросов на сертификат и возвращении подписанных сертификатов и списков отзыва по протоколам HTTP/HTTPS должно использоваться расширяемое представление передаваемых через http-запросы GET или POST документов. Для этого могут быть использованы запросы и ответы в формате XML.
6. Наибольшая нагрузка по обеспечению безопасности в системе сертификации открытых ключей ложится на: Удостоверяющий Центр (УЦ) как программный комплекс по обеспечению PKI. УЦ имеет вполне сложившуюся архитектуру с основными функциональными компонентами - Служба сертификации (Certification Services, CS), Центр регистрации (ЦР), АРМ администратора УЦ. CS обеспечивает выпуск сертификатов и списков отозванных сертификатов, владеет закрытым ключом УЦ, работает, как правило, в автономном режиме. ЦР (веб приложение) обеспечивает формирование ключей ЦР и пользователей, доставку сертификатов ЦР и УЦ пользователям, централизованную регистрацию пользователей в ЦР и по сети, централизованное формирование ключей и запросов на сертификаты пользователей с учетом данных регистрации, сетевой доступ пользователей к базам сертификатов и спискам отозванных сертификатов, подпись и передачу запросов на сертификаты пользователей в УЦ и другие функции по функционированию PKI. Для выполнения требований по п.2 в УЦ должен быть реализован комплекс программных, программно-технических и организационных мер обеспечения безопасности. ООО "КриптоПро" разработал и эксплуатирует удостоверяющий центр "КриптоПро УЦ" на договорной основе с организациями-пользователями (сайт http://cryptopro.ru). В удостоверяющем центре используется криптопровайдер "КриптоПро CSP", сертифицированный по классу защиты КС2 классификации ФАПСИ. Функционирование центра базируется на ОС MS Windows и стандартных средствах фирмы Microsoft MS CertificationAuthority, CryptoAPI 2.0, CAPICOM 1.0, Certificate Enrollment Control (xenroll), Microsoft Outlock, Microsoft Outlock Express, Microsoft Autenticode®.
7. Обеспечение безопасности УЦ связано с решением следующих проблем:
- защита закрытых ключей УЦ и пользователей от НСД;
- доверие к системному и прикладному программному обеспечению;
- защита функционирования УЦ от негативных воздействий по каналу связи;
- защита функционирования УЦ от негативных воздействий внутренних нарушителей с тем или иным уровням доступа к его программно-аппаратным компонентам и ключам.
В каждом конкретном случае необходимы выбор и реализация достаточного профиля защиты. Критической является проблема хранения закрытых ключей в условиях работы в не доверенной системной среде. Пути ее решения - локализация криптографических преобразований в обособленном доверенном модуле с контролируемым взаимодействием его с CS, ролевое администрирование УЦ с разделением информации о ключах по нескольким его субъектам, разграничение доступа к компонентам системы обслуживающего персонала, исключение алгоритмическими и техническими мерами информативности о ключах по сигналам линейной передачи и ПЭМИН, организационно-технические и режимные меры по защите программно-аппаратных средств и помещений размещения УЦ.
8. Вопросы обеспечения безопасности системы PKI решаются на основе законодательной и нормативной базы в области защиты информации. К законодательной базе в первую очередь относятся:
- закон РФ "Об информации, информатизации и защите информации",
- закон РФ "Об электронной цифровой подписи".
- государственная система сертификации продуктов защиты данных и лицензирования деятельности по представлению услуг в области защиты информации.
К нормативной базе относятся:
- стандарты криптографической защиты данных
- требования ФАПСИ по защите информации.
- требования и положения Гостехкомиссии РФ к средствам защиты информации от НСД.
Попов Владимир Олегович, руководитель сертифицирующего центра компании
Опубликовано: Всероссийская конференция "Автоматизация делопроизводства и электронный документооборот в органах власти"