Отечественная реализация инфраструктуры открытых ключей - VCERT PKI

Для реализации ифраструктуры открытых ключей, использующей российские криптографические стандарты, объединеными усилиями двух компаний: ЗАО "МО ПНИЭИ" и ООО "ВАЛИДАТА" создан программный продукт "VCERT PKI".

"VCERT PKI" поддерживает инфраструктуру открытых ключей на основе сертификатов Х.509 версии 3 и российские криптографические стандарты, реализованные в виде программного средства криптографической защиты информации "ВЕРБА-ОW" (разработка компании МО ПНИЭИ).

"VCERT PKI" представляет собой программный комплекс, в состав которого входят следующие компоненты:

Центр сертификации (исполняемый модуль);
Центр регистрации (исполняемый модуль);
Программная библиотека работы с сертификатами (Win32);
Справочник сертификатов (исполняемый модуль);
Сетевой справочник сертификатов (LDAP-сервер).

Для развертывания PKI в широких масштабах предриятие, желающее внедрить у себя данную технологию, должно обучить своих пользователей, решить организационные вопросы, связанные с управлением ключами/сертификатами и осознать риск и ответственность, связанные с особенностями функционирования PKI. Для встраивания библиотек VCERT PKI в прикладное программное обеспечение компаниями ЗАО "МО ПНИЭИ" и ООО "ВАЛИДАТА" разработано SDK (инструментарий разработчика). Примерами встраивания VCERT PKI могут служить программные продукты "Курьер" и "Корвет".

Одной из наиболее распространенных областей, которые могут выиграть от использования PKI, является защищенная электронная почта на основе стандарта S/MIME. Используя стандарт S/MIME, основанный на PKI, пользователи могут отсылать сообщения с цифровой подписью и зашифрованные e-mail-сообщения. Благодаря использованию e-mail на основе S/MIME, предприятия могут начать развертывание PKI, набирать опыт и определенные знания в области этой технологии. Далее, можно переходить к освоению и установке других защищенных служб на базе PKI таких, как SSL, IPsec и пр.

Рекомендуется пользователям, желающим развертывать VCERT PKI, начать работу с установки защищенной почты "Курьер".

Система защищенной почты "Курьер" представляет собой программное расширение Microsoft Outlook 98/2000, использующее "VCERT PKI" и реализующее защиту e-mail сообщений на основе стандарта S/MIME и PKCS-7 для почтовых вложений. В качестве почтового сервера можно использовать Exchange сервер или любой SMTP-сервер. В качестве сетевого справочника сертификатов можно использовать любой LDAP-сервер. Основные характеристики системы приведены втаблице 1.

Для защиты НТТР-протокола между Web сервером и Web браузером разработана система "Корвет". Основные характеристики этой системы приведены в таблице 2.

Таблица 1. Основные характеристики систем "Курьер" 2.0 и "Курьер-В" 2.0

Описание	Примечание
Используемые криптопровайдеры
СКЗИ "Верба-О" версии 4.x	Название этого продукта "Курьер-В" 2.0
Система управления сертификатами VCERT PKI + СКЗИ ИВерба-ОК версии 5.1	Название этого продукта "Курьер" 2.0
Поддерживаемые операционные системы
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows NT 4.0
Microsoft Windows 2000	Только для "Курьер" 2.0
Поддерживаемые почтовые агенты
Microsoft Outlook 97	Обычно входит в состав Microsoft Office 97, но может поставляться отдельно
Microsoft Outlook 98
Microsoft Outlook 2000	Обычно входит в состав Microsoft Office 2000, но может поставляться отдельно
Поддерживаемые почтовые сервера
Microsoft Exchange Server
Любой SMTP сервер
Поддерживаемая адресация
SMTP адресация	Например, mailbox@mail.com
Exchange адресация	Например, /o=ORG/ou=DEP/cn=Recipients/cn=user
Криптографические функции
Шифрование почтового сообщения в формате S/MIME	Шифруемые поля: Тело сообщения; Вложенные файлы; Вложенные почтовые сообщения
Электронная подпись почтового сообщения в формате S/MIME (multipart/signed)	Подписываемые поля: Тема; Адреса получателей; Адрес отправителя; Дата; Тело сообщения; Вложенные файлы; Вложенные почтовые сообщения
Электронная подпись каждого вложенного файла в отдельности в формате PKCS-7 (вложенные файлы во вложенных почтовых сообщениях также подписываются отдельными подписями)
Типы защищенных сообщений
Зашифрованное почтовое сообщение	Поддерживается циркулярная рассылка по списку рассылки
Подписанное почтовое сообщение	Поддерживается циркулярная рассылка по списку рассылки
Зашифрованное и подписанное почтовое сообщение	Поддерживается циркулярная рассылка по списку рассылки
Множественная электронная подпись
Подпись одного почтового сообщения несколькими подписями. Система позволяет при пересылке подписанного почтового сообщения добавлять свою подпись к уже существующим подписям других пользователей.
Квитирование
Автоматическая отправка в адрес отправителя защищенной квитанции о проверке (при открытии) входящего защищенного почтового сообщения.
Просмотр отправителем интегрированной таблицы о текущем состоянии получения защищенных квитанций на отправленное защищенное почтовое сообщение
Архивирование
Автоматическое архивирование подписанных вложенных файлов совместно с одной или несколькими подписями	Архивируется в разные файлы в определенную директорию
Автоматическое архивирование результатов криптографической обработки входящих защищенных почтовых сообщений	Архивируется в разные файлы в определенную директорию
Хранение в защищенном виде
обеспечивается хранение входящих почтовых сообщений в зашифрованном, подписанном или открытом виде
Разбор конфликтных ситуаций
Поддерживается процедура криптографического разбора конфликта, связанного с отказом отправителя подписанного почтового сообщения от факта его отправления
Поддерживается процедура криптографического разбора конфликта, связанного с отказом получателя подписанного почтового сообщения от факта его получения	Данная процедура реализована на основании защищенного квитирования
Защита от НСД
Возможна установка защита конфигурации системы на пароле
Система не принимает не подписанные почтовые сообщения	Опциональная установка
Система не принимает не зашифрованные почтовые сообщения	Опциональная установка
Система не позволяет открывать не подписанные почтовые сообщения	Опциональная установка
Распределение ключей
Распределение открытых ключей через сертификаты	Для "Курьер" 2.0 сертификаты соответствуют X.509
Для отзыва сертификатов используются списки отозванных сертификатов (CRL)	Для "Курьер" 2.0 CRL соответствует X.509
Генерация секретного ключа на рабочем месте пользователя	Только для "Курьер" 2.0
Централизованная генерация секретных ключей на выделенном рабочем месте (АРМ-АБ СКЗИ "Верба-О")	Только для "Курьер-В" 2.0
Поддержка сетевого справочника сертификатов на LDAP сервере
Поддержка сетевого справочника сертификатов на Microsoft Ex	Дискета
TouchMemory	Только для "Курьер" 2.0
Smart карта	Только для "Курьер" 2.0
Протоколирование
Ведется файл протокола в формате CSV
Компрессия
Реализована функция компрессии шифруемого почтового сообщения

Таблица 2. Основные характеристики системы защиты HTTP протокола "Корвет" 2.0

Описание	Примечание
Состав программного обеспечения (ПО)
Клиентская часть системы "Корвет"	Устанавливается на компьютер клиента, использующего Интернет обозреватель (Browser)
Серверная часть системы "Корвет"	Устанавливается как на компьютер с Web сервером, так и на отдельный компьютер
Принцип работы
Шифрующий Proxy сервер HTTP протокола
Используемые средства криптографической защиты (СКЗИ)
СКЗИ "Верба-ОW" версии 4.x
Система управления сертификатами VCERT PKI + СКЗИ "Верба-ОW" версии 5.1
Поддерживаемые операционные системы
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows NT 4.0
Microsoft Windows 2000
Поддерживаемые Интернет обозреватели (Browser)
Любой Интернет обозреватель (Browser), поддерживающий Proxy сервер HTTP протокола.	Наилучшим вариантом является использование Microsoft Internet Explorer
Поддерживаемые Web сервера
Любой Web сервер
Функции защиты HTTP протокола
Протокол двухсторонней криптографической аутентификации между клиентом и Web сервером с выработкой сеансового ключа	Результат аутентификации, передается на Web сервер в каждом HTTP запросе
Шифрование трафика HTTP протокола	Все шифрованные данные инкапсулируются в HTTP протокол
Выполнение электронной цифровой подписи (ЭЦП) на клиенте (Browser)	Не требует дополнительного встраивания, а выполняется автоматически в клиентском модуле защиты "Корвет"
Проверка электронной цифровой подписи (ЭЦП) на сервере (Web сервер)	Не требует дополнительного встраивания, а выполняется автоматически в серверном модуле защиты "Корвет"
Хранение данных на Web сервере в защищенном виде
Шифрование файлов с данными Web сервера (html страницы, картинки, документы, Java, ActivX, Щ)	Файлы шифруются на отдельном компьютере и копируются на Web сервер в зашифрованном виде. Расшифрование выполняется на компьютере клиента
Подпись файлов с данными Web сервера (html страницы, картинки, документы, Java, ActivX, Щ)	Файлы подписываются на отдельном компьютере и копируются на Web сервер в подписанном виде. Проверка подписи выполняется на компьютере клиента.
Архивирование подписанных данных
Автоматическое архивирование на сервере подписанных клиентом данных, передаваемых на Web сервер	Данные и их ЭЦП сохраняются в архиве в виде файлов
обеспечивается хранение входящих почтовых сообщений в зашифрованном, подписанном или открытом виде
Разбор конфликтных ситуаций
Поддерживается процедура криптографического разбора конфликта, связанного с отказом клиента от отправленных им подписанных данных на Web сервер
Режимы работы Интернет обозревателя (Browser)
Открытый режим работы Browser с выключенной системой "Корвет"
Защищенный режим работы Browser с включенной системой ИКорветК	Переключение режимов осуществляется нажатием "мыши" на индикатор панели задач
Защита конфигурации системы
Возможна установка защиты конфигурации системы от ее изменения на пароле
Распределение ключей
Распределение открытых ключей с помощью сертификатов
Для отзыва сертификатов используются списки отозванных сертификатов (CRL)
Поддержка сетевого справочника сертификатов на FTP сервере
Поддержка сетевого справочника сертификатов на LDAP сервере
Поддержка сетевого справочника сертификатов на Microsoft Exchange Server
Мониторинг
В клиентской и сервеной частях системы ведется мониторинг всех установленных защищенных НТТР соединений
Протоколирование
Ведется файл протокола работы системы в формате CSV
Компрессия
Реализована функция компрессии данных перед шифрованием