- •Содержание
- •Введение
- •Глоссарий
- •Glossary
- •Глава 1. Общая структурная схема каналов передачи данных в системе "ДБО BS-Client"
- •Глава 3. Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)
- •3.1. Решаемые задачи
- •3.3. Организация транспортной подсистемы
- •4.3. Сравнение различных способов защиты канала
- •Глава 6. Защита от внешних атак
- •6.1. Фильтрация неподписанных пакетов в ядре транспорта классического клиента
- •6.2. Аутентификация пользователей в подсистеме Интернет-Клиент
- •6.2.1. Подпись трафика BS-Defender’a
- •6.2.3. Аутентификация при работе с односторонним SSL (парольная и криптографическая)
- •6.2.3.1. Парольная аутентификация
- •6.2.3.2. Криптографическая аутентификация
- •6.2.5. Использование сеансовых ключей при работе с подсистемой Телефон-Клиент
- •Глава 7. Защита от внутренних атак
- •7.1. Аутентификация и авторизация внутренних пользователей
- •7.2. Права пользователей в системе
- •7.2.1. Общее описание системы прав
- •7.2.2. Система прав доступа к СУБД и серверу ДБО
- •7.2.3. Система прав разграничения доступа по документам
- •7.3. Ограничение доступа к БД через внешние средства
- •7.4. Аудит действий пользователей
- •7.5.1. Фиксация смены статусов документов
- •7.5.2. Системные журналы
- •7.5.2.1. Системные журналы «толстого» клиента и сервера ДБО
- •7.5.3. Журналы макроязыка
- •Глава 8. Обеспечение целостности и аутентичности информации передаваемой от клиентов в банк и обратно
- •8.1. Использование подписи под документами
- •8.1.1. Общие сведения
- •8.1.2. Подпись документов и квитанций
- •8.1.3. Возможность разбора конфликтных ситуаций
- •8.2. Использование подписи при передаче транспортного трафика
- •8.3. Использование подписи при передаче трафика BS-Defender
- •8.4. Использование механизмов аутентичности двустороннего SSL (TLS)
- •8.4.1. Общие сведения
- •8.4.2. Исходные требования
- •8.4.3. Технология связи клиента и банка по каналу «Двусторонний SSL / TLS»
- •8.6. Аутентичность выписок, остатков и другой информации выдаваемой банком в подсистеме Телефон-Клиент
- •Глава 9. Работа с криптографическими ключами и сертификатами
- •9.1. Описание особенностей СКЗИ
- •9.2. Основные понятия
- •9.2.1. Записи о ключах
- •9.2.5. Право защиты канала («Интернет-Клиент»)
- •9.3. Менеджмент ключей. Права на криптографические операции. Привязка к пользователю
- •9.4. Начальное заведение ключей, Технологический ключ
- •9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте)
- •9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента
- •9.6. Перегенерация банковского ключа
- •9.7. Использование списков отозванных сертификатов. Компрометация ключа
- •9.8. Использование списков отозванных сертификатов (СОС)
- •9.9. Использование USB-токенов
- •Глава 10. Конфликтные ситуации и способы их решения
- •10.1. Общие положения, типы конфликтных ситуаций
- •10.2. Разбор конфликтов в случае «толстого клиента»
- •10.3. Разбор конфликтов в «BS-Defender»
- •10.4. Разбор конфликтов в одностороннем и двустороннем SSL (сохраняемые подписи под документами)
- •Глава 11. Соответствие системы "ДБО BS-Client" стандартам ЦБР
- •Глава 12. Список рекомендуемой литературы
- •Приложение A. Криптографические справочники, используемые в системе "ДБО BS-Client"
- •A.1. Справочник количества подписей в документах (CryptoNumOfSigns)
- •A.2. Справочник сертификатов (CryptoUID)
- •A.3. Справочник криптографических профилей (CryptoProfile)
- •A.4. Справочник рабочих мест абонентов СКЗИ (CryptoWorkPlace)
- •A.5. Справочник пользователей абонентов СКЗИ (CryptoLogin)
- •A.7. Общие справочники
- •A.7.1. Справочник клиентов (PostClnt)
- •A.7.2. Справочник организаций (Customer)
- •B.1. 1. Общий порядок разбора конфликтной ситуации
- •B.2. 2. Действия по общему анализу конфликтного документа
- •B.3. 3. Разбор конфликта вида «Отказ любой из сторон от ЭЦП под созданным этой стороной документом»
- •B.4. Разбор конфликта вида «Отказ любой из сторон от сформированной ею квитанции на документ»
Работа с криптографическими ключами и сертификатами
№ |
Наименование |
Алгорит- |
Макс. дли- |
Сертификат |
Открытый |
Поддержка |
|
|
мы ЭЦП |
на откры- |
ФАПСИ |
ключ / серти- |
списков отоз- |
|
|
|
того ключа |
|
фикат |
ванных серти- |
|
|
|
(бит) |
|
|
фикатов (CRL) |
13. |
Crypto-C |
ГОСТ Р |
– |
Имеется |
Открытый ключ |
Отсутствует |
|
|
34.10-2001 |
|
|
|
|
Так как правила защиты финансовой информации для государственных структур на текущий момент регламентируются федеральным законом об электронно-цифровой подписи, при выборе средства защиты информации для использования в рамках системы "ДБО BS-Client" в таких организациях, необходимо особое внимание уделить наличию сертификата ФАПСИ, удостоверяющего правомерность применения того или иного средства для защиты финансовой информации.
В рамках системы "ДБО BS-Client" реализована также универсальная связка с единым криптографическим интерфейсом Windows Microsoft Crypto API 2.0. Данная связка позволяет использовать в качестве средства защиты информации любой криптопровайдер (Cryptographic Service Provider) из установленных на компьютере пользователя. Однако, изза особенностей работы различных провайдеров, гарантировать полнофункциональную работу такого решения без проведения тщательного тестирования нельзя.
9.2. Основные понятия
Примечание
В данном разделе под термином «сертификат» подразумевается электронный сертификат ключа подписи, т.е. электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
9.2.1. Записи о ключах
Понятие «запись о ключах» в системе "ДБО BS-Client" включает в себя:
•идентификатор (UID);
•криптографические параметры: пути к секретным ключам, каталогу ЦС, справочнику сертификатов других абонентов и прочие параметры;
•признак активности: «активный» / «не активный» / «запрещен» / «переходный»;
•признак временного сертификата: «технологичный» / «рабочий».
Признак «активный» указывает на текущий рабочий сертификат (открытый ключ) абонента. Признак «не активный» — на старый сертификат (открытый ключ), который был сменен в результате плановой смены сертификата.
Признак «запрещен» – на сертификат (открытый ключ), который был скомпрометирован.
41
Работа с криптографическими ключами и сертификатами
Признак «переходный» — на новый сертификат (открытый ключ), который появляется в процессе плановой смены сертификата (открытого ключа) и сменит текущий активный сертификат (открытый ключ).
Признак временности сертификата («технологичный»), ограничивает права этого сертификата (открытого ключа) на подпись документов в системе "ДБО BS-Client". Таким сертификатом (открытым ключом) можно подписывать только те документы, для которых в справочнике подписей под документами указана эта возможность.
Обычно этот признак используется для первично сгенерированных сертификатов (открытых ключей), выданных клиенту банком вместе с дистрибутивом Системы. Такие сертификаты (открытые ключи) подлежат обязательной перегенерации (смене) на клиенте после установки
унего системы "ДБО BS-Client".
9.2.2.Криптографический профиль (абонент)
Под криптографическим профилем в системе "ДБО BS-Client" подразумевается набор данных соответствующий абоненту, владеющий секретным ключевым носителем и набором сертификатов (открытых ключей), необходимых для криптографических операций (подпись, проверка подписи, шифрация, дешифрация).
Данное понятие включает в себя:
•название абонента (профиля);
•тип криптографии: Excellence/4.0, LAN Crypto/2.35, Message-PRO 1.1, M-Pro v1.34 (GOST PSE), M-Pro v2.x, Open SSL, CryptoPro CSP/1.1, Verba-OW/4, Crypto COM/2.2, Crypto-C, Ms Crypto API 2.0, Агава-С;
•признак: «запрещен» / «разрешен»;
•список сертификатов (открытых ключей) и соответствующих им секретных ключей, принадлежащих абоненту.
При этом следует отметить, что хотя к профилю относится целый список сертификатов (открытых ключей), в конкретный момент активным является только один из них. Остальные сертификаты (открытые ключи) отражают историю плановой смены сертификатов (открытых ключей).
Выставление профилю признака «запрещен» равносильно его удалению. Профиль будет недоступен для любых криптографических операций.
9.2.3. Право подписи для документов системы
"ДБО BS-Client"
Под правом подписи в системе "ДБО BS-Client" понимается право подписи абонента (профиля) под документами "ДБО BS-Client". Различаются следующие права подписи:
•единственная – при наличии такой подписи документ считается полностью подписанным;
•первая – право первой подписи под документами;
42