- •Содержание
- •Введение
- •Глоссарий
- •Glossary
- •Глава 1. Общая структурная схема каналов передачи данных в системе "ДБО BS-Client"
- •Глава 3. Защита передаваемых данных в подсистеме «толстый» клиент ДБО (шифрация, подпись, транспорт)
- •3.1. Решаемые задачи
- •3.3. Организация транспортной подсистемы
- •4.3. Сравнение различных способов защиты канала
- •Глава 6. Защита от внешних атак
- •6.1. Фильтрация неподписанных пакетов в ядре транспорта классического клиента
- •6.2. Аутентификация пользователей в подсистеме Интернет-Клиент
- •6.2.1. Подпись трафика BS-Defender’a
- •6.2.3. Аутентификация при работе с односторонним SSL (парольная и криптографическая)
- •6.2.3.1. Парольная аутентификация
- •6.2.3.2. Криптографическая аутентификация
- •6.2.5. Использование сеансовых ключей при работе с подсистемой Телефон-Клиент
- •Глава 7. Защита от внутренних атак
- •7.1. Аутентификация и авторизация внутренних пользователей
- •7.2. Права пользователей в системе
- •7.2.1. Общее описание системы прав
- •7.2.2. Система прав доступа к СУБД и серверу ДБО
- •7.2.3. Система прав разграничения доступа по документам
- •7.3. Ограничение доступа к БД через внешние средства
- •7.4. Аудит действий пользователей
- •7.5.1. Фиксация смены статусов документов
- •7.5.2. Системные журналы
- •7.5.2.1. Системные журналы «толстого» клиента и сервера ДБО
- •7.5.3. Журналы макроязыка
- •Глава 8. Обеспечение целостности и аутентичности информации передаваемой от клиентов в банк и обратно
- •8.1. Использование подписи под документами
- •8.1.1. Общие сведения
- •8.1.2. Подпись документов и квитанций
- •8.1.3. Возможность разбора конфликтных ситуаций
- •8.2. Использование подписи при передаче транспортного трафика
- •8.3. Использование подписи при передаче трафика BS-Defender
- •8.4. Использование механизмов аутентичности двустороннего SSL (TLS)
- •8.4.1. Общие сведения
- •8.4.2. Исходные требования
- •8.4.3. Технология связи клиента и банка по каналу «Двусторонний SSL / TLS»
- •8.6. Аутентичность выписок, остатков и другой информации выдаваемой банком в подсистеме Телефон-Клиент
- •Глава 9. Работа с криптографическими ключами и сертификатами
- •9.1. Описание особенностей СКЗИ
- •9.2. Основные понятия
- •9.2.1. Записи о ключах
- •9.2.5. Право защиты канала («Интернет-Клиент»)
- •9.3. Менеджмент ключей. Права на криптографические операции. Привязка к пользователю
- •9.4. Начальное заведение ключей, Технологический ключ
- •9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте)
- •9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента
- •9.6. Перегенерация банковского ключа
- •9.7. Использование списков отозванных сертификатов. Компрометация ключа
- •9.8. Использование списков отозванных сертификатов (СОС)
- •9.9. Использование USB-токенов
- •Глава 10. Конфликтные ситуации и способы их решения
- •10.1. Общие положения, типы конфликтных ситуаций
- •10.2. Разбор конфликтов в случае «толстого клиента»
- •10.3. Разбор конфликтов в «BS-Defender»
- •10.4. Разбор конфликтов в одностороннем и двустороннем SSL (сохраняемые подписи под документами)
- •Глава 11. Соответствие системы "ДБО BS-Client" стандартам ЦБР
- •Глава 12. Список рекомендуемой литературы
- •Приложение A. Криптографические справочники, используемые в системе "ДБО BS-Client"
- •A.1. Справочник количества подписей в документах (CryptoNumOfSigns)
- •A.2. Справочник сертификатов (CryptoUID)
- •A.3. Справочник криптографических профилей (CryptoProfile)
- •A.4. Справочник рабочих мест абонентов СКЗИ (CryptoWorkPlace)
- •A.5. Справочник пользователей абонентов СКЗИ (CryptoLogin)
- •A.7. Общие справочники
- •A.7.1. Справочник клиентов (PostClnt)
- •A.7.2. Справочник организаций (Customer)
- •B.1. 1. Общий порядок разбора конфликтной ситуации
- •B.2. 2. Действия по общему анализу конфликтного документа
- •B.3. 3. Разбор конфликта вида «Отказ любой из сторон от ЭЦП под созданным этой стороной документом»
- •B.4. Разбор конфликта вида «Отказ любой из сторон от сформированной ею квитанции на документ»
Работа с криптографическими ключами и сертификатами
регенерации на клиенте после установки у него системы "ДБО BS-Client". Этот признак сертификата ограничивает его права на подпись документов "ДБО BS-Client". Таким сертификатом можно подписывать только те документы, для которых в справочнике подписей под документами выставлен соответствующий признак. Таковым, по умолчанию, является документ "ДБО BS-Client" с запросом на новый сертификат.
Таким образом, клиент не сможет отправлять в банк финансовые документы до тех пор, пока он не сформирует новый секретный ключевой носитель и сертификат. Такая процедура гарантирует клиенту полную защиту секретного ключевого носителя, т.к. он генерируется непосредственно на рабочем месте пользователя и может быть известен только пользователю.
9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте)
Все средства криптографической защиты информации, используемые в "ДБО BSClient" (см. разд. 9.1 «Описание особенностей СКЗИ» [стр. 40]) основаны на ассиметричных криптографических алгоритмах. Указанные алгоритмы используют т.н. «ключевые пары» – набор из секретного и открытого ключа.
Секретный ключ (файл секретного ключа, либо ключ, записанный на специальный ключевой носитель) является конфиденциальной информацией.
Примечание
Полное определение согласно закону об ЭЦП: закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Организацию защиты данного ключа от несанкционированного копирования должен обеспечивать владелец ключа. При выдаче набора ключей пользователю системы, последний должен быть поставлен в известность относительно правил хранения секретных ключей и недопустимости доступа третьих лиц к носителю секретного ключа.
Некоторые из СКЗИ обеспечивают дополнительную функцию защиты секретного ключа с помощью мастер-ключа или пароля.
В этом случае все правила хранения секретного ключа распространяется на мастер-ключ, сам секретный ключ в этом случае не требует специальной защиты и может быть расположен на накопителях общего пользования. В случае защиты секретного ключа паролем необходимо придерживаться тех же правил, что и при хранении ничем не защищенного ключа. Дело в том, что пароль не обеспечивает должный уровень криптостойкости защищенных им данных.
Второй частью ключевой пары является открытый ключ. Как правило, в большинстве современных криптопровайдеров, открытый ключ распространяется в виде сертификата.
Сертификат представляет собой открытый ключ, заверенный цифровой подписью центра сертификации (ЦС) – специального органа, в функции которого входит выдача сертификатов.
Примечание
Полное определение согласно закону об ЭЦП: сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного
45
Работа с криптографическими ключами и сертификатами
лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Открытый ключ не является конфиденциальной информацией и может распространяться по открытым каналам связи, без дополнительной защиты.
Для выполнения различных операций криптографических преобразований используются различные части ключевой пары.
Таблица 9.2. Использование криптографических ключей
Наименование операции |
Используемые ключи |
Формирование цифровой подписи |
Секретный ключ подписывающего |
|
|
Проверка цифровой подписи |
Открытый ключ (сертификат) подписавшего |
|
|
Шифрование данных |
Открытый ключ (сертификат) получателя шифрованных данных |
|
|
Расшифровка данных |
Секретный ключ получившего зашифрованные данные |
|
|
Из представленной выше таблицы видно, что для реализации защиты информационного обмена между двумя абонентами каждый из них должен наряду со своим секретным ключом иметь также открытый ключ (сертификат) своего абонента. Кроме этого, в случае использования сертификатов (открытых ключей, заверенных подписью ЦС) каждый из абонентов должен располагать сертификатом ЦС для проверки действительности используемых сертификатов.
В связи с тем, что ключи имеют ограниченный период действия, а также могут быть скомпрометированы, в системе "ДБО BS-Client" предусмотрен набор специальных алгоритмов, позволяющих без обрыва соединения осуществить плавный переход с одних криптографических ключей на другие.
9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента
Алгоритм смены клиентских ключей состоит из следующих основных этапов:
1.Клиент инициирует удаленную перегенерацию ключей через прикладной интерфейс системы "ДБО BS-Client".
•Клиент генерирует новые секретный ключ и открытый ключ (запрос на сертификат).
•Открытый ключ (запрос на сертификат) помещается в специальную структуру, защищенную от искажения ЭЦП, выработанной на текущих ключах клиента.
•Сформированная структура пересылается в банк.
2.На банковской стороне осуществляется проверка ЭЦП под полученной структурой, если в структуре находится открытый ключ – переход на п. 4, если в структуре находится запрос на сертификат – он передается в удостоверяющий центр для формирования сертификата.
46