749.20K
Category: informaticsinformatics
Similar presentations:
Иерархия удостоверяющих центров и проверка сертификатов. Продукты реализации PKI
Иерархия удостоверяющих центров и проверка сертификатов. Продукты реализации PKI
Криптографические методы защиты информации
Криптографические методы защиты информации
Понятие Crypto Pro CSP
Понятие Crypto Pro CSP
Электронная-цифровая подпись в информационных системах
Электронная-цифровая подпись в информационных системах
Инфраструктура открытых ключей
Инфраструктура открытых ключей
Инфраструктура открытых ключей
Инфраструктура открытых ключей
Организационные и технические способы и средства защиты информации. Шифровальная (криптографическая) защита информации
Организационные и технические способы и средства защиты информации. Шифровальная (криптографическая) защита информации
Инфраструктура открытых ключей (PKI - Public Key Infrastructure)
Инфраструктура открытых ключей (PKI - Public Key Infrastructure)
Подходы к реализации средств идентификации. Лекция 4
Подходы к реализации средств идентификации. Лекция 4
Инфраструктура открытых ключей (PKI - Public Key Infrastructure)
Инфраструктура открытых ключей (PKI - Public Key Infrastructure)

Виды криптографических средств СКЗИ

1.

Маро Екатерина
Кафедра безопасности информационных технологий

2.

Виды криптографических
средств
СКЗИ подразделяются на:
1. Средства шифрования, предназначенные для защиты информации при
передаче по каналам связи и (или) для защиты информации от
несанкционированного доступа при ее обработке и хранении.
2. Средства имитозащиты, предназначенные для защиты от навязывания
ложной информации.
3. Средства
ЭЦП, обеспечивающие на основе криптографических
преобразований реализацию хотя бы одной из следующих функций: создание
ЭЦП с использованием закрытого ключа, подтверждение с использованием
открытого ключа подлинности ЭЦП, создание закрытых и открытых ключей
ЭЦП.
4. Средства кодирования, реализующие алгоритмы криптографического
преобразования информации с выполнением части преобразования путем
ручных операций или с использованием автоматизированных средств на
основе таких операций.
5. Средства изготовления ключевых документов (независимо от вида носителя
ключевой информации).
6. Ключевые документы.

3.

Прямой обмен
открытыми ключами
Создается ключевой носитель с
Сформировать
подпись
Ключевой носитель
Собственные
ключи
Данные для
передачи
Открытый ключ с
подписью
Документ (письмо)
...
...
Проверить
подлинность
документа
Проверить
подлинность
открытого ключа
Поместить
в каталог открытых
ключей
собственными ключами. Секретный
ключ закрывается паролем.
Для собственного открытого ключа
формируется подпись на собственном
секретном ключе, и открытый ключ
записывается для передачи.
Подготавливается
юридический
документ, в котором указываются:
данные о владельце, сам открытый
ключ
(распечатка
в
шестнадцатеричном виде), полномочия
владельца.
Ключевой
носитель
и
соответствующие сопроводительные
документы направляются адресам,
которые перед внесением полученных
сведений в базу данных проверяют
идентичность копий открытого ключа в
контейнере и в документе.

4.

Обмен открытыми ключами через
сертификационный центр
Сформировать
подпись
Ключевой носитель
Собственные
ключи
Данные для
передачи
Открытый ключ с
подписью
Документ (письмо)
...
...
Сертификационный центр
БД
открытых
ключей
Ключ-сертификат с
подписью
Ключ-сертификат
Документ (письмо)
...
Данные для
передачи
...
Проверить
подлинность
ключа-сертификата и
открытых ключей
Проверить
подлинность
документа
Поместить
в каталог с
открытыми ключами
Организуется
центр
для
сертификации пользователей. В
него поступают открытые ключи и
сопровождающие их документы.
СЦ отвечает за:
Регистрацию (внесение в базу
данных) открытых ключей всех
владельцев;
Создание файла, содержащего
полномочия этих владельцев (и их
подписи);
Пересылку
баз
данных
открытых ключей, а также ключасертификата (как в виде файла,
так и в виде юридического
документа).

5.

Журнал поэкземплярного учета
криптосредств
Отметка о получении

п.п.
Наименование
криптосредства,
эксплуатационной
и технической
документации к
ним, ключевых
документов
Регистрационные
номера СКЗИ,
эксплуатационной и
технической
документации к ним,
номера серий
ключевых документов
Номера
экземпляров
(криптографические номера)
ключевых
документов
1
2
3
4
Отметка о подключении (установке) СКЗИ
Отметка о выдаче
От кого
получены
Дата и номер
сопроводительного
письма
Ф.И.О.
пользователя
криптосредст
в
Дата и
расписка в
получении
5
6
7
8
Отметка об изъятии СКЗИ из аппаратных средств,
уничтожении ключевых документов
Ф.И.О. пользователя
криптосредств,
производившего
подключение
(установку)
Дата
подключения
(установки) и
подписи лиц,
произведших
подключение
(установку)
Номера
аппаратных
средств, в
которые
установлены
или к которым подключены криптосредства
Дата
изъятия
(уничтожения)
Ф.И.О. пользователя
СКЗИ,
производившего
изъятие (уничтожение)
Номер акта
или расписка
об
уничтожении
Примечание
9
10
11
12
13
14
15

6.

Уровни криптографической
защиты
КС
Уровни специальной защиты от утечки по
каналам ПЭМИН
Уровни криптографической защиты
КС1
Встраивание криптосредств осуществляется
без контроля
Встраивание криптосредства класса
осуществляется организацией, имеющей
соответствующую лицензию ФСБ России
КС2
КВ
КС3
КВ1
КА
КВ2
КА1
только под контролем со стороны
ФСБ России
не обязательно (самим
пользователем при наличии
лицензии ФСБ)
обязательно
Уровни защиты от несанкционированного
доступа к ПДн
(классы автоматизированных систем)
АК1
АК2
АК3
АК4
АК5
АК6
Тип нарушителя (Hi)
Н1
Н2
Н3
Н4
Н5
Н6
H1
H2
H3
H4
H5
H6

7.

Модель нарушителя
H1
H3
H4
H5
H6
+
+
+
+
+
+
+
+
+
+
+
Возможен сговор нарушителей
+
+
+
Могут проводить лабораторные исследования
+
+
+
Располагают документацией и исходными текстами
+
+
Могут проводить работы в научно-исследовательских центрах
+
+
Используют штатные средства, расположенные за пределами
КЗ
Используют имеющиеся в продаже аппаратные компоненты
Возможности по использованию штатных средств зависят от
организационных мер
Дополнительные возможности по получению аппаратных
компонентов зависят от организационных мер
Известны все сети связи, работающие на едином ключе
Располагают всей документацией на СКЗИ и любыми
аппаратными компонентами
H2
+
+
+
+

8.

Архитектуры Public Key Infrastructure
Иерархическая PKI
Одиночный УЦ
Сетевая PKI

9.

Архитектуры PKI (2)
Кросс-сертифицированные
корпоративные PKI
Архитектура мостового УЦ

10.

Жизненный цикл объектов в УЦ
Регистрация
Обновление
сертификата
Запрос на
сертификат
Компрометация и
отзыв сертификата
Верификация
запроса
Использование
сертификата
Издание
сертификата
Передача сертификата
заявителю

11.

Состав КриптоПро УЦ
Центр Сертификации (ЦС) :
ПО Центра Сертификации;
Утилиты Центра Сертификации;
СКЗИ КриптоПро CSP;
Средство сетевой аутентификации КриптоПро TLS.
Центр Регистрации (ЦР):
ПО Центра Регистрации;
Утилиты Центра Регистрации;
ПО АРМ регистрации пользователя;
ПО АРМ зарегистрированного пользователя с маркерным доступом;
ПО АРМ зарегистрированного пользователя с ключевым доступом;
СКЗИ КриптоПро CSP;
Средство сетевой аутентификации КриптоПро TLS.
АРМ администратора Центра Регистрации:
ПО АРМ администратора;
СКЗИ КриптоПро CSP.
АРМ разбора конфликтных ситуаций (АРМ РКС):
ПО АРМ разбора конфликтных ситуаций;
СКЗИ КриптоПро CSP.

12.

Функции КриптоПро TLS
Аутентификация с использованием обмена ключей
по алгоритму Диффи-Хэллмана и хэширования:
• односторонняя - анонимный клиент,
аутентифицируемый сервер;
• двухсторонняя - аутентифицируемые клиент и
сервер;
Электронная цифровая подпись;
Шифрование соединения;
Вычисление имитовставки передаваемых данных.

13.

Функции ЦС
Генерация ключей и сертификата УЦ
Смена ключей и сертификата УЦ
Формирование сертификата по запросам ЦР
Формирование запроса на кросс-сертификат УЦ
Ведение/изменение базы данных сертификатов
Формирование списка отозванных сертификатов (СОС)
Взаимодействие с Центрами Регистрации
Протоколирование работы ЦС

14.

Функции ЦР
Аутентификация приложений и пользователей
при обращении к ЦР
Ведение базы данных пользователей и их
сертификатов
Управление шаблонами сертификатов
Управление политиками (обработки запросов,
имен, уведомлений)
Взаимодействие с ЦС и внешними приложениями
Протоколирование работы Центра Регистрации

15.

Функции АРМ Администратора ЦР
Взаимодействие с одним или несколькими ЦР
Регистрация/удаление пользователей в ЦР
Генерация служебных и рабочих ключей пользователей
Создание запросов на формирование (отзыв,
приостановление/возобновление действия)
сертификатов
Публикация СОС
Вывод сведений об объектах на бумажные носители

16.

Функции АРМ РКС
Проверка целостности ЭЦП на электронном
документе
Проверка целостности ЭЦП уполномоченного
лица удостоверяющего центра на сертификате
открытого ключа
Установление статуса сертификата открытого
ключа подписи
Формирование и печать протокола проверки.

17.

Взаимодействие компонентов
АРМ РКС
Протокол HTTP(S) порт 443.
Протокол HTTP (порт 80) для передачи СОС

18.

Установка УЦ КриптоПро
Порядок установки:
1.Установка общесистемного программного обеспечения
(компоненты IIS и CA)
2. Установка Центра Сертификации
3. Установка Центра Регистрации
4. Тестирование на Центре Регистрации соединения с Центром
Сертификации до получения положительного результата
5. Установка АРМ администратора ЦР
6. Подключение администратора ЦР в качестве
привилегированного пользователя с ролью «Оператор»
7. Тестирование соединения АРМ администратора ЦР с Центром
Регистрации до получения положительного результата
8. Установка АРМ разбора конфликтных ситуаций.
English     Русский Rules