Обслуговування сертифікатів відкритих ключів користувачів, надання послуг фіксування часу
Обслуговування сертифікатів користувачів включає:
■ реєстрацію користувачів;
■ сертифікацію відкритих ключів користувачів;
■ розповсюдження сертифікатів через інформаційний ресурс - web-сайт та LDAP-каталог, а також за протоколом CMP;
■ управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів через списки відкликаних сертифікатів на інформаційному ресурсі та за протоколом OCSP.
Надання послуг фіксування часу включає формування позначок часу від даних та підписів.
Тестовий ЦСК забезпечує обслуговування сертифікатів відкритих ключів користувачів розробників та інших користувачів.
Надає розробникам можливість створювати власний відокремлений пункт реєстрації ЦСК.
До складу ЦСК входять наступні засоби:
■ програмний комплекс ЦСК “ІІТ ЦСК-1” (програмні комплекси центрального сервера, сервера взаємодії, адміністраторів ЦСК та програмний комплекс віддаленого адміністратора реєстрації "ІІТ ЦСК-1. Віддалений адміністратор реєстрації"), розгорнуті на серверах ЦСК та РС адміністраторів;
■ апаратні засоби криптографічного захисту інформації (КЗІ):
Мережний криптомодуль “Гряда-301” (мікро-пристрій)
Інтерфейс: USB, Ethernet 10/100
Швидкодія: 100-150 ЕЦП/с
Призначення: зберігання та
використання особистого ключа ЦСК
Мережний криптомодуль “Гряда-301”
Інтерфейси: 2 x Ethernet 100/1000 Мбіт
Швидкодія: 2000 ЕЦП/с
Призначення: зберігання та використання особистих ключів ЦСК та серверів ЦСК (OCSP, TSP та CMP)
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
■ алгоритми шифрування за ДСТУ ГОСТ 28147:2009 та TDEA і AES за ISO/IEC 18033-3:2010;
■ алгоритми ЕЦП за ДСТУ 4145-2002, RSA за PKCS#1 (RFC 3447) та ECDSA за ДСТУ ISO/IEC 14888-3:2014;
■ алгоритми гешування за ГОСТ 34.311-95 та SHA (SHA-1 і SHA-224/256/384/512) за ДСТУ ISO/IEC 10118-3:2005;
■ протоколи розподілу ключів за ДСТУ ISO/IEC 15946-3 (пп. 8.2) та RSA за PKCS#1 (RFC 3447).
Протоколи розподілу ключових даних реалізуються згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) і вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р., та за алгоритмом направленого шифрування RSA згідно PKCS#1 (RFC 3447). Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.
Протокол встановлення захищеного сеансу передачі даних користувачем та сервером реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3
Формати ключових даних та іншої спеціальної інформації, а також операційні протоколи взаємодії відповідають наступним вимогам:
■ формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
■ формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
■ формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
■ формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
■ формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
■ формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних користувачів відносяться особисті ключі та сертифікати користувачів ЦСК.
|