Работа с криптографическими ключами и сертификатами
регенерации на клиенте после установки у него системы "ДБО BS-Client". Этот признак сертификата ограничивает его права на подпись документов "ДБО BS-Client". Таким сертификатом можно подписывать только те документы, для которых в справочнике подписей под документами выставлен соответствующий признак. Таковым, по умолчанию, является документ "ДБО BS-Client" с запросом на новый сертификат.
Таким образом, клиент не сможет отправлять в банк финансовые документы до тех пор, пока он не сформирует новый секретный ключевой носитель и сертификат. Такая процедура гарантирует клиенту полную защиту секретного ключевого носителя, т.к. он генерируется непосредственно на рабочем месте пользователя и может быть известен только пользователю.
9.5. Перегенерация клиентского ключа (в толстом и тонком клиенте)
Все средства криптографической защиты информации, используемые в "ДБО BSClient" (см. разд. 9.1 «Описание особенностей СКЗИ» [стр. 40]) основаны на ассиметричных криптографических алгоритмах. Указанные алгоритмы используют т.н. «ключевые пары» – набор из секретного и открытого ключа.
Секретный ключ (файл секретного ключа, либо ключ, записанный на специальный ключевой носитель) является конфиденциальной информацией.
Примечание
Полное определение согласно закону об ЭЦП: закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Организацию защиты данного ключа от несанкционированного копирования должен обеспечивать владелец ключа. При выдаче набора ключей пользователю системы, последний должен быть поставлен в известность относительно правил хранения секретных ключей и недопустимости доступа третьих лиц к носителю секретного ключа.
Некоторые из СКЗИ обеспечивают дополнительную функцию защиты секретного ключа с помощью мастер-ключа или пароля.
В этом случае все правила хранения секретного ключа распространяется на мастер-ключ, сам секретный ключ в этом случае не требует специальной защиты и может быть расположен на накопителях общего пользования. В случае защиты секретного ключа паролем необходимо придерживаться тех же правил, что и при хранении ничем не защищенного ключа. Дело в том, что пароль не обеспечивает должный уровень криптостойкости защищенных им данных.
Второй частью ключевой пары является открытый ключ. Как правило, в большинстве современных криптопровайдеров, открытый ключ распространяется в виде сертификата.
Сертификат представляет собой открытый ключ, заверенный цифровой подписью центра сертификации (ЦС) – специального органа, в функции которого входит выдача сертификатов.
Примечание
Полное определение согласно закону об ЭЦП: сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного
45
Работа с криптографическими ключами и сертификатами
лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Открытый ключ не является конфиденциальной информацией и может распространяться по открытым каналам связи, без дополнительной защиты.
Для выполнения различных операций криптографических преобразований используются различные части ключевой пары.
Таблица 9.2. Использование криптографических ключей
Наименование операции |
Используемые ключи |
Формирование цифровой подписи |
Секретный ключ подписывающего |
|
|
Проверка цифровой подписи |
Открытый ключ (сертификат) подписавшего |
|
|
Шифрование данных |
Открытый ключ (сертификат) получателя шифрованных данных |
|
|
Расшифровка данных |
Секретный ключ получившего зашифрованные данные |
|
|
Из представленной выше таблицы видно, что для реализации защиты информационного обмена между двумя абонентами каждый из них должен наряду со своим секретным ключом иметь также открытый ключ (сертификат) своего абонента. Кроме этого, в случае использования сертификатов (открытых ключей, заверенных подписью ЦС) каждый из абонентов должен располагать сертификатом ЦС для проверки действительности используемых сертификатов.
В связи с тем, что ключи имеют ограниченный период действия, а также могут быть скомпрометированы, в системе "ДБО BS-Client" предусмотрен набор специальных алгоритмов, позволяющих без обрыва соединения осуществить плавный переход с одних криптографических ключей на другие.
9.5.1. Удаленная перегенерация ключей толстого и тонкого клиента
Алгоритм смены клиентских ключей состоит из следующих основных этапов:
1.Клиент инициирует удаленную перегенерацию ключей через прикладной интерфейс системы "ДБО BS-Client".
•Клиент генерирует новые секретный ключ и открытый ключ (запрос на сертификат).
•Открытый ключ (запрос на сертификат) помещается в специальную структуру, защищенную от искажения ЭЦП, выработанной на текущих ключах клиента.
•Сформированная структура пересылается в банк.
2.На банковской стороне осуществляется проверка ЭЦП под полученной структурой, если в структуре находится открытый ключ – переход на п. 4, если в структуре находится запрос на сертификат – он передается в удостоверяющий центр для формирования сертификата.
46