Работа с криптографическими ключами и сертификатами
№ |
Наименование |
Алгорит- |
Макс. дли- |
Сертификат |
Открытый |
Поддержка |
|
|
мы ЭЦП |
на откры- |
ФАПСИ |
ключ / серти- |
списков отоз- |
|
|
|
того ключа |
|
фикат |
ванных серти- |
|
|
|
(бит) |
|
|
фикатов (CRL) |
13. |
Crypto-C |
ГОСТ Р |
– |
Имеется |
Открытый ключ |
Отсутствует |
|
|
34.10-2001 |
|
|
|
|
Так как правила защиты финансовой информации для государственных структур на текущий момент регламентируются федеральным законом об электронно-цифровой подписи, при выборе средства защиты информации для использования в рамках системы "ДБО BS-Client" в таких организациях, необходимо особое внимание уделить наличию сертификата ФАПСИ, удостоверяющего правомерность применения того или иного средства для защиты финансовой информации.
В рамках системы "ДБО BS-Client" реализована также универсальная связка с единым криптографическим интерфейсом Windows Microsoft Crypto API 2.0. Данная связка позволяет использовать в качестве средства защиты информации любой криптопровайдер (Cryptographic Service Provider) из установленных на компьютере пользователя. Однако, изза особенностей работы различных провайдеров, гарантировать полнофункциональную работу такого решения без проведения тщательного тестирования нельзя.
9.2. Основные понятия
Примечание
В данном разделе под термином «сертификат» подразумевается электронный сертификат ключа подписи, т.е. электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
9.2.1. Записи о ключах
Понятие «запись о ключах» в системе "ДБО BS-Client" включает в себя:
•идентификатор (UID);
•криптографические параметры: пути к секретным ключам, каталогу ЦС, справочнику сертификатов других абонентов и прочие параметры;
•признак активности: «активный» / «не активный» / «запрещен» / «переходный»;
•признак временного сертификата: «технологичный» / «рабочий».
Признак «активный» указывает на текущий рабочий сертификат (открытый ключ) абонента. Признак «не активный» — на старый сертификат (открытый ключ), который был сменен в результате плановой смены сертификата.
Признак «запрещен» – на сертификат (открытый ключ), который был скомпрометирован.
41
Работа с криптографическими ключами и сертификатами
Признак «переходный» — на новый сертификат (открытый ключ), который появляется в процессе плановой смены сертификата (открытого ключа) и сменит текущий активный сертификат (открытый ключ).
Признак временности сертификата («технологичный»), ограничивает права этого сертификата (открытого ключа) на подпись документов в системе "ДБО BS-Client". Таким сертификатом (открытым ключом) можно подписывать только те документы, для которых в справочнике подписей под документами указана эта возможность.
Обычно этот признак используется для первично сгенерированных сертификатов (открытых ключей), выданных клиенту банком вместе с дистрибутивом Системы. Такие сертификаты (открытые ключи) подлежат обязательной перегенерации (смене) на клиенте после установки
унего системы "ДБО BS-Client".
9.2.2.Криптографический профиль (абонент)
Под криптографическим профилем в системе "ДБО BS-Client" подразумевается набор данных соответствующий абоненту, владеющий секретным ключевым носителем и набором сертификатов (открытых ключей), необходимых для криптографических операций (подпись, проверка подписи, шифрация, дешифрация).
Данное понятие включает в себя:
•название абонента (профиля);
•тип криптографии: Excellence/4.0, LAN Crypto/2.35, Message-PRO 1.1, M-Pro v1.34 (GOST PSE), M-Pro v2.x, Open SSL, CryptoPro CSP/1.1, Verba-OW/4, Crypto COM/2.2, Crypto-C, Ms Crypto API 2.0, Агава-С;
•признак: «запрещен» / «разрешен»;
•список сертификатов (открытых ключей) и соответствующих им секретных ключей, принадлежащих абоненту.
При этом следует отметить, что хотя к профилю относится целый список сертификатов (открытых ключей), в конкретный момент активным является только один из них. Остальные сертификаты (открытые ключи) отражают историю плановой смены сертификатов (открытых ключей).
Выставление профилю признака «запрещен» равносильно его удалению. Профиль будет недоступен для любых криптографических операций.
9.2.3. Право подписи для документов системы
"ДБО BS-Client"
Под правом подписи в системе "ДБО BS-Client" понимается право подписи абонента (профиля) под документами "ДБО BS-Client". Различаются следующие права подписи:
•единственная – при наличии такой подписи документ считается полностью подписанным;
•первая – право первой подписи под документами;
42