Инфраструктура открытых ключей CERTEX

Печать PDF

Средство построения PKI - инфраструктуры открытых ключей - комплекс CERTEX

Программный комплекс «CERTEX» обеспечивает создание распределение и управление ключевой информацией с помощью цифровых регистрационных свидетельств в различных информационных системах для реализации технологии инфраструктуры открытых ключей (ИОК или PKI – Public Key Infrastructure). Программный комплекс «CERTEX» устанавливает порядок взаимоотношений между пользователями информационных систем и обеспечивает доступность и достоверность ключевой информации, принадлежность и соответствие открытых ключей их владельцу, защищенные механизмы получения, смены и отзыва ключей. Важными компонентами этой инфраструктуры являются Удостоверяющие центры(центры сертификации), которым доверяют все пользователи системы. Удостоверяющие центры решают наиболее важные задачи по обработке запросов, изданию, отзыву и публикации регистрационных свидетельств, определению политики их использования, настройке параметров и конфигурации системы. Использование цифровых регистрационных свидетельств обеспечивает необходимый уровень универсализации при использовании документооборота в корпоративных сетях, электронной почты, доступе к сетевым устройствам и Web-узлам, организации VPN-соединений, авторизации на уровне операционных систем, СУБД и приложений. Цифровые регистрационные свидетельства являются основой доверительных отношений между участниками в процессе обмена данными. Наличие регистрационного свидетельства, принадлежащего корреспонденту, позволяет вести с ним защищенный обмен данными: конфиденциальную передачу информации (шифрование), определение подлинности электронных документов, проведение процедуры строгой аутентификации взаимодействующих сторон. Программный комплекс «CERTEX» позволяет строить иерархические и сетевые модели инфраструктуры открытых ключей любой степени вложенности.

Состав и назначение программного комплекса «CERTEX»:
  • Удостоверяющий Центр (корневой Удостоверяющий Центр, подчиненные Удостоверяющие Центры) предназначен для администрирования Удостоверяющего Центра: определение иерархии ИОК, создание подчиненных УЦ, предоставление и отзыв полномочий, прием, проверку подлинности запросов на выпуск/отзыв регистрационных свидетельств;
  • ПО «CERTEX»-сервер Приложений обеспечивает работу всех сервисных приложений УЦ и координирует связи со всеми остальными компонентами ИОК;
  • Модуль администратора Удостоверяющего Центра «CERTEX AdminCA» обеспечивает организацию работы по выпуску регистрационных свидетельств Удостоверяющих Центров, Центров Регистрации, TSP- и OCSP-серверов, регистрационных свидетельств пользователей, а также установление доверительных отношений между Удостоверяющими Центрами, импорт регистрационных свидетельств и формирование шаблонов регистрационных свидетельств;
  • Модуль администратора Центра Регистрации «CERTEX RA» обеспечивает регистрацию пользователей ИОК, удаленное администрирование регистрационных свидетельств пользователей, генерацию секретного ключа регистрируемого пользователя, формирование запроса на изготовление / отзыв регистрационного свидетельства пользователя, доступ к регистрационным свидетельствам пользователей по протоколу LDAP;
  • Модуль меток времени «CERTEX TSP» обеспечивает постановку временной метки на электронный документ по протоколу TSP;
  • Модуль оперативной проверки статуса регистрационных свидетельств «CERTEX OCSP» обеспечивает оперативную проверку текущего статуса регистрационного свидетельства по протоколу OCSP;
  • Реестр (каталог) регистрационных свидетельств «CERTEX LDAP» обеспечивает получение доступа к регистрационным свидетельствам, проверку статуса регистрационных свидетельств, хранение архивной информации;
  • Модуль Аудита «CERTEX Auditor» обеспечивает контроль жизненного цикла цифровых регистрационных свидетельств, контроль деятельности персонала УЦ, ЦР и конечных пользователей, а также автоматизированный централизованный сбор информации из журналов регистрации событий модулей ПК «CERTEX»;
  • Модуль разбора конфликтных ситуаций «CERTEX Arbiter» обеспечивает автоматизацию процедуры разрешения инцидентов, связанных с оспариванием участниками системы электронного документооборота авторства, целостности регистрационного свидетельства, актуальности (статуса) регистрационного свидетельства;
  • База данных Удостоверяющего Центра обеспечивает хранение, дублирование и резервное копирование всех данных УЦ;
  • Интерфейс пользователя УЦ обеспечивает регистрацию пользователей через стандартный Интернет Браузер, подачу заявки на получение цифрового регистрационного свидетельства; генерацию ключа пользователя, отзыв и обновление собственного регистрационного свидетельства; взаимодействие между пользователями и УЦ с использованием выделенного стандартного WEB сервера;
  • Аппаратный и/или программный криптомодуль «Тумар CSP», используемый в качестве средств защиты. Криптографический модуль обеспечивает компоненты программного комплекса необходимыми криптографическими функциями, в том числе, по вычислению и проверке ЭЦП. ИОК «CERTEX» позволяет использовать сторонние криптографические модули.

Взаимодействие компонентов «CERTEX»:

 

Предоставляемые возможности:
  • Регистрация пользователей;
  • Генерация ключевой информации с помощью различных генераторов случайных чисел;
  • Выпуск регистрационного свидетельства;
  • Отзыв регистрационного свидетельства;
  • Использование меток времени (Time-Stamp);
  • Оперативная проверка статуса регистрационного свидетельства (Online Certificate Status Protocol);
  • Обеспечение доступа к Реестру регистрационных свидетельств;
  • Возможность осуществления доверительных отношений с другими Удостоверяющими Центрами;
  • Хранение ключевой информации на различных ключевых носителях;
  • Разбор конфликтных ситуаций при возникновении спорных ситуаций, связанных с регистрационными свидетельствами;
  • Аудит событий, связанных с эксплуатацией программного комплекса, автоматический централизованный сбор информации из журналов аудита компонентов программного комплекса;
  • Печать регистрационных свидетельств;
  • Поддержка казахского языка;
  • Интеграция с MS Word, MS Excel, MS Outlook, MS Outlook Express, The Bat, Lotus Notes;
  • Возможность модернизации и модульного наращивания.
Поддерживаемые стандарты:
  • Публикация регистрационных свидетельств и СОРС в каталогах, поддерживающих доступ, осуществляется по протоколу LDAP (RFC 2251 «Lightweight Directory Access Protocol (v3)»)
  • Структура формируемых регистрационных свидетельств соответствует рекомендациям Х.509 v.3, RFC 2459 «Certificate and Certificate Revocation List (CRL) Profile», RFC 3280 «Certificate and Certificate Revocation List (CRL) Profile» и RFC 3039 «Qualified Certificates Profile»
  • Структура формируемых списков отозванных регистрационных свидетельств соответствует рекомендациям Х.509 v2, RFC 2459 «Certificate and Certificate Revocation List (CRL) Profile» и RFC 3280 «Certificate and Certificate Revocation List (CRL) Profile»
  • OCSP (RFC 2560 «Online Certificate Status Protocol»)
  • TSP (RFC 3161, «Internet X.509 Public Key Infrastructure Time-Stamp Protocol»)
  • SNTP (RFC 2030 Simple Network Time Protocol Version 4)
  • CMS (RFC 2630 Cryptographic Message Syntax)
  • CMC (RFC 2797 Certificate Management Messages Over CMS)
  • SCEP (Simple Certificate Enrollment Protocol)
  • SSL (Secure Socket Layer)
  • TLS (Transport Layer Security)
  • S/MIME
  • PKCS#1 (RSA Cryptography Standard)
  • PKCS#3 (Diffie-Hellman Key Agreement Standard)
  • PKCS#5 (Password-Based Cryptography Standard)
  • PKCS#6 (Extended-Certificate Syntax Standard)
  • PKCS#7 (Cryptographic Message Syntax Standard)
  • PKCS#8 (Private-Key Information Syntax Standard)
  • PKCS#9 (Selected Attribute Types)
  • PKCS#10 (Certification Request Syntax Standard)
  • PKCS#11 (Cryptographic Token Interface Standard)
  • PKCS#12 (Personal Information Exchange Syntax Standard)
  • PKCS#13 (Elliptic Curve Cryptography Standard)
  • PKCS#15 (Cryptographic Token Information Format Standard)