Захист електронного документообігу, електронної пошти та інтеграція бібліотек користувача ЦСК
Комплекс користувача ЦСК “ІІТ Користувач ЦСК-1” у складі системи електронного документообігу чи іншої прикладної системи
(далі - системи) призначений для:
  • автентифікації користувачів системи при підключенні до сервера та забезпечення конфіденційності і цілісності даних, які передаються між користувачами та сервером;
  • забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у системі, з використанням електронного цифрового підпису
Зазначені функції комплекс виконує шляхом застосування механізмів криптографічного захисту інформації, яка обробляється у системі.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК)
Структурна схема засобів користувача ЦСК
На сервері системи встановлюються та використовуються бібліотеки користувача ЦСК для відповідної серверної ОС та апаратний засіб КЗІ - мережний криптомодуль

На засобах користувачів системи (робочих станціях чи портативних комп'ютерах - РС та ПК)встановлюються та використовуються бібліотеки користувача ЦСК для відповідної ОС та апаратний засіб КЗІ - електронний ключ
Склад засобів
Комплекс користувача ЦСК “ІІТ Користувач ЦСК-1” у складі системи електронного документообігу чи іншої прикладної системи (далі - системи) призначений для:
  • бібліотеки користувача ЦСК "ІІТ Користувач ЦСК-1" (програмні засоби КЗІ);
  • апаратні засоби КЗІ до яких можуть входити:
    • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
    • мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”)
Бібліотеки (програмні засоби КЗІ) реалізують логіку роботи комплексу та інтегровані безпосередньо у користувальницьку та серверну частини системи (користувача та сервер), через визначені інтерфейси.

Бібліотеки можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережеві криптомодулі тощо
Призначення бібліотек користувача ЦСК
Бібліотеки кориcтувача ЦСК призначені для використання в якості базових засобів КЗІ та виконують наступні функції:
  • роботу з носіями ключової інформації (зчитування особистих ключів з носіїв);
  • роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС), що включає:
    • зчитування сертифікатів та списків відкликаних сертифікатів із файлового сховища;
    • визначення статусу сертифіката за допомогою списків відкликаних сертифікатів;
    • завантаження списків відкликаних сертифікатів з веб-сторінки ЦСК (з веб-серверу ЦСК);
  • зашифрування та розшифрування даних;
  • формування та перевірку ЕЦП від даних;
  • захист сеансів передачі даних (захист з'єднань), що включає:
    • реалізацію протоколу взаємної автентифікації сторін під час встановлення сеансу захищеної передачі даних (захищеного з'єднання);
    • захист (шифрування та контроль цілісності) сегментів захищеної передачі даних (даних захищеного з'єднання);
  • інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
  • пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК);
  • отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо
Характеристики засобів
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
  • алгоритми шифрування за ДСТУ ГОСТ 28147:2009 та TDEA і AES за ISO/IEC 18033-3:2010;
  • алгоритми ЕЦП за ДСТУ 4145-2002 та RSA за PKCS#1 (IETF RFC 3447);
  • алгоритми гешування за ГОСТ 34.311-95 та SHA (SHA-1 і SHA-224/256/384/512) за ДСТУ ISO/IEC 10118-3:2005;
  • протоколи розподілу ключів за ДСТУ ISO/IEC 15946-3 (пп. 8.2) та RSA за PKCS#1 (IETF RFC 3447)
Протоколи розподілу ключових даних реалізуються згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) і вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р., та за алгоритмом направленого шифрування RSA згідно PKCS#1 (IETF RFC 3447). Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Протокол встановлення захищеного сеансу передачі даних користувачем та сервером реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3
Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:
  • ключові дані ЦСК;
  • ключові дані користувачів та сервера системи
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних користувачів та сервера системи відносяться особисті ключі та сертифікати відповідно користувачів та сервера.
В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
  • електронні диски (flash-диски);
  • оптичні компакт-диски (CD);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Avest AvestKey, Aladdin eToken/JaCarta, Автор SecureToken, Технотрейд uaToken, SafeNet iKey, Giesecke&Devrient StarSign та БІФІТ iBank Key;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Техноконсалтинг TEllipse, Aladdin eToken/JaCarta, Автор CryptoCard, Giesecke&Devrient StarSign та БІФІТ Інтегра;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
  • інші носії та криптомодулі з бібліотеками підтримки, що відповідають вимогам до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП, затверджених спільним наказом Міністерства юстиції України та Адміністрації Держспецзв’язку № 2782/5/689 від 27.12.2013 р.
Формати ключових даних та іншої спеціальної інформації, а також операційні протоколи взаємодії відповідають наступним вимогам:
  • формати сертифікатів та списків відкликаних сертифікатів - згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах ЕЦП, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) - згідно вимог до надійних засобів ЕЦП та технічних рекомендацій IETF RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) - згідно вимог до форматів криптографічних повідомлень та IETF RFC 5652 (PKCS#7);
  • протокол OCSP (визначення статусу сертифіката) - згідно вимог до надійних засобів ЕЦП та технічних рекомендацій IETF RFC 2560;
  • протокол TSP (фіксування часу - отримання позначок часу) - згідно вимог до надійних засобів ЕЦП та IETF RFC 3161;
  • формати особистих ключів - згідно PKCS#8 і PKCS#12 та вимог до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП
Апаратні засоби криптографічного захисту інформації
Електронний ключ “Кристал-1”
Інтерфейс: USB
Доступ: власний протокол та протокол CCID
Швидкодія: 100 мс/ЕЦП
Призначення: зберігання та використання
особистих ключів користувачів

Електронний ключ має електричний USB-інтерфейс для підключення до РС чи ПК користувача.

Електронний ключ призначений для:
  • автентифікації користувача системи перед початком роботи;
  • зберігання та захисту особистого ключа користувача;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача

Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача.

Електронний ключ може мати вбудований електронний flash-диск об'ємом 4, 8, 16 чи 32 ГБ. Швидкість запису та зчитування диску з шифруванням за ДСТУ ГОСТ 28147:2009 - 0,5 Мбайт/c.
Мережний криптомодуль "Гряда-301"
Інтерфейси: 2 x Ethernet 100/1000 Мбіт
Швидкодія: 2000 ЕЦП/с
Призначення: зберігання та використання
особистих ключів сервера системи

Мережний криптомодуль має мережний електричний інтерфейс Ethernet 100/1000 для підключення до сервера системи безпосередньо або через комутатори локальної обчислювальної мережі.

Мережний криптомодуль призначений для:
  • автентифікації сервера системи перед початком роботи;
  • зберігання та захисту особистого ключа сервера;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера.

Апаратна реалізація мережного криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та унеможливлює доступ до особистих ключів сервера з боку сервера системи
Інтеграція бібліотек користувача ЦСК
Бібліотеки користувача ЦСК інтегруються зазначену у систему (та інші прикладні системи) через визначені інтерфейси (Microsoft CAPI, PKCS#11, GSS-API, JCA) і власні та реалізовані для ОС Microsoft Windows XP/2003 Server/Vista/2008 Server/7/8/8.1/2012 Server/10, Microsoft Windows CE/Mobile 5/6/6.5, Microsoft Windows Phone 7/8, Linux (SuSe/Red Hat/Slackware та ін.), UNIX (AIX/Solaris/FreeBSD та ін.), Apple MAC OS X/iOS, Google Android у вигляді бібліотек підключення (DLL/COM, SO, DYLIB – 32/64-біта) або у вигляді архівів java-класів для JRE чи java-скриптів тощо.

Для всіх бібліотек користувача ЦСК під всі ОС та платформи, що підтримуються, існують приклади використання
Бібліотеки користувача ЦСК інтегровані у різні прикладні системи, серед яких:
  • системи електронної пошти (поштові клієнти та сервери): Microsoft Outlook, IBM Lotus Notes, Авіаінтур Захід, ФОСС-Он-Лайн FossMail та ін.;
  • офісні пакети: Microsoft Office, Adobe Acrobat та ін.; системи електронного документообігу: Інфо+ АСКОД, Сітронікс ДокПроф, Софтлайн Мегаполіс, НетКомТехнолоджи Діло та ін.;
  • системи подання звітності у електронному вигляді до Державної фіскальної служби України, Пенсійного фонду України, Держстату України, ДАІ МВС України та ін. (компаній 1С, Інтес, НВО Поверхня, Декра і ін.);
  • автоматизовані та інтегровані банківські системи: SAP for Banking, Oracle FlexCube та ін.;
  • більше 60 корпоративних та внутрішньовідомчих систем;
  • власні засоби та комплекси криптографічного захисту інформації.
Описи бібліотек
Тип бібліотеки:
Завантажити опис
Інтерфейс:
Завантажити опис
Засоби генерації ключів користувача ЦСК
Користувач центру сертифікації ключів "ІІТ Користувач ЦСК-1"

Забезпечують генерацію ключів користувача, формування запиту на формування сертифіката, а також формування та передачу запитів на блокування, скасування та поновлення сертифіката користувача до ЦСК
Інсталяційний пакет для ОС Microsoft Windows XP/2003 Server/Vista/2008 Server/7/8/8.1/2012 Server/10
Завантажити
Настанова оператору (ОС Microsoft Windows)
Завантажити
Настанова системного програміста (ОС Microsoft Windows)
Завантажити
Інсталяційний пакет для ОС Google Android 2.3 та вище
Завантажити
Настанова оператору (ОС Google Android)
Завантажити
Настанова системного програміста (ОС Google Android)
Завантажити
Інсталяційний пакет для ОС Apple MAC OS X 10.7 та вище
Завантажити
Настанова оператору (ОС Apple MAC OS X)
Завантажити
Настанова системного програміста (ОС Apple MAC OS X)
Завантажити
Центр сертифікації ключів
ЦСК призначений для обслуговування сертифікатів відкритих ключів користувачів, надання послуг фіксування часу, а також надання (за необхідності) користувачам засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує: обслуговування сертифікатів користувачів, що включає:
  • реєстрацію користувачів;
  • сертифікацію відкритих ключів користувачів;
  • розповсюдження сертифікатів;
  • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу.

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.

Для тестування інтеграції засобів web-автентифікації користувачів ЦСК та формування тестових сертифкатів може використовуватися тестовий ЦСК.

Для взаємодії з центром сертифікації ключів (використання його інтерактивних служб) користувачі та сервер web-автентифікації повинні мати можливість мережного підключення до ЦСК. Усі механізми взаємодії з ЦСК виконують бібліотеки користувача ЦСК