Використання електронного цифрового підпису у електронному документообігу

Сертифікація - За допомогою описаного вище процесу автентификації можна упевнитися в дійсності джерел спілкування при взаємодії двох об'єктів. Однак для цього необхідно, щоб взаємодіючі об'єкти до початку фактичної передачі даних обмінялися деякою ключовою інформацією. До цієї інформації відносяться використовуваний для автентифікації алгоритм і ключ. Проблема виникає, коли необхідно переконатися в дійсності об'єкта, ніколи до цього не взаємодіяли. Єдиним способом досягти цього є делегування третій стороні права підтвердження такої дійсності. Ця третя сторона називається Засвідчуючого Центру (ЗЦ). 

Цифровий сертифікат - це документ, що видає ЗЦ кожному з взаємодіючих об'єктів, дійсність яких він раніше засвідчив. Сертифікат містить інформацію про об'єкт (як, наприклад, назва організації, ім'я (сервера або людини)), його відкритий ключ і саме головне ЕЦП самого ЗЦ, передбачається, що всі учасники обміну безумовно довіряють ЗЦ. Сертифікати можуть служити як для забезпечення безпеки Web-повідомлень, так і для захисту поштових повідомлень і підпису програмного забезпечення. Існують три види цифрових сертифікатів, використовуваних у SSL/TLS: сертифікат сервера (Site Certificate), персональний сертифікат (Personal Certificate) і сертифікат ЗЦ (CA Certificate) 

Сертифікат сервера дозволяє упевнитися в дійсності сервера - абстрактного ресурсу. 

Персональний сертифікат служить для ідентифікації клієнтів на ресурсі. За допомогою персональних сертифікатів можна забезпечити набагато більш високий рівень безпеки при розмежуванні доступу на сервер, чим за допомогою інших механізмів. 

СА сертифікат. Сертифікат ЗЦ служить для перевірки дійсності самого ЗЦ. З його допомогою підписуються сертифікат сервера і персональний сертифікат. Він повинний зберігатися на сервері і на клієнтській машині, для того щоб сервер і клієнтський додаток могли перевірити дійсність підписаних їм ЗЦ сертифікатів.

 

 

"Засвідчуючий Центр сертифікатів та ключів підпису" є ключовим компонентом для різного типу прикладних захищених систем корпоративного рівня (захищений документообіг, Інтернет-банкінг, білінгові системи, електронна комерція, Інтернет процесінг і.т.п.), що використовує технології інфраструктури з відкритими ключами (PKI). 

Центр корпоративної інформації, засвідчує, системи виконані як довірені (може поставлятися з вихідними кодами) сервіс на Unix системах (FreeBSD, Linux) і забезпечує: 

1.Реєстрацію й обслуговування запитів користувачів на створення цифрового сертифіката. Створення за заявою користувача секретного і відкритого ключів. Спосіб доставки інформації про власника сертифіката і формат запиту визначається регламентом експлуатації конкретного ЗЦ.

2.Створення цифрового сертифіката користувача і його запевняння на секретному ключі ЗЦ. Сертифікати, що випускаються, можуть бути використані як персональні, сертифікати ресурсу, або кореневі сертифікати підлеглих ЗЦ. Створені цифрові сертифікати можуть брати участь в організації захищеного з'єднання по протоколі Transport Layer Security (TLS) із криптографічними алгоритмами (хеш функція, шифрування і вироблення імітовставки). 

Технічна реалізація ЗЦ визначає фізично самостійний пристрій - "Криптографічний Процесор" (КП) - розташоване на незалежному інтерфейсі, що виконує криптографічні функції (створення ключів користувачів, обчислення і перевірка ЕЦП), де створюється (і ніколи не залишає КП) коренева ключова пара, за допомогою якої і формуються ЕЦП на електронних сертифікатах. Таке функціональне відокремлення КП дозволило абстрагуватися від постачальника криптографічних засобів, самих криптографічних алгоритмів і рівня пропонованих вимог до криптографічної підсистеми. 

У КП реалізовано: 

Алгоритми ЕЦП: 

RSA (PKCS#1, RFC 2437) 

DSA (FIPS 186-1) 

Хеш функції: 

MD5 (RFC 1321) 

SHA-1 (FIPS 181, RFC 3174) 

Алгоритм узгодження ключів 

Diffie-Hellman (X9.42, RFC 2631) 

Сертифіковані засоби електронного цифрового підпису вбудовуються в Криптографічний Процесор, якщо того вимагає регламент роботи всієї автоматизованої системи, в абонентські пункти й інші компоненти комплексу.

ЗЦ поставляється з не сертифікованим засобом електронного цифрового підпису, роботи з придбання і вбудовування сертифікованих криптографічних засобів конкретного виробника здійснюється тільки Ліцензіатом. 

ЗЦ надає можливість здійснювати роздільний випуск електронних сертифікатів для ЕЦП і асиметричного шифрування, використовуваного S/MIME (RFC 2633). Електронні сертифікати відповідають міжнародним рекомендаціям X.509 v.3 (RFC 2459, RFC 3039) і можуть видаватися у форматах PKCS#12, DER або PEM. 

3.Ведення реєстру сертифікатів відкритих ключів і списку відкликаних сертифікатів із забезпеченням його актуальності і можливості вільного доступу до нього користувачів. Реалізація служби реєстру заснована на протоколі LDAP і дозволяє крім інформації про сертифікат указувати додаткові дані аж до розміщення графічних зображень - фотографій і використовувати реєстр (точніше мережний довідник) як "жовту книгу" проекту, картотеку "облікових карток співробітників підприємства" і т.п. 

4.Оперативне керування сертифікатами (запровадження в дію, припинення і поновлення дії, анулювання). Політика ухвалення рішення і система розмежування доступу до адміністративних ресурсів заснована на аналізі складу цифрового сертифіката конкретного офіцера безпеки. Сертифікати офіцерів безпеки у своєму складі містять спеціальні мандатні мітки, значення яких визначає рівень ухвалення рішення. Даний підхід дозволяє застосовувати ЗЦ в організаціях з настільки завгодно великою і розподіленою службою офіцерів безпеки і реалізувати фактично будь-яку модель політики безпеки в системі. 

Взаємодія з адміністративним ресурсом відбувається по захищеному з'єднанню по протоколі TLS v1.0 (можлива підтримка протоколу SSLv3). 

Для довірених систем у яких потрібно використовувати сертифіковані операційні системи, існує спеціальний варіант постачання ЗЦ побудований на захищеній інтегрованій системі (на основі ALT Linux) обробки конфіденційної