PKI в корпоративной инфраструктуре: состояние и пути развития | Компания “Аладдин Р.Д.”

Система разграничения доступа к информации должна содержать четыре функциональных блока:

• Идентификацию и аутентификацию субъектов доступа;
• Диспетчер доступа;
• Криптографическое преобразование информации при ее хранении и передаче;
• Очистка памяти;

Если за  идентификацию и аутентификацию отвечает механизм проверки пароля и его хранение, диспетчер доступа отвечает за ролевую модель доступа, то криптографическое преобразование является одним из самых сложных функционалов системы. За криптографическое преобразование отвечает электронная подпись (открытый и закрытый ключ), хэш функция. 

Электронная подпись (ЭП) — это программно-криптографическое средство. Оно обеспечивает проверку целостности документов, устанавливает лицо, которые его отправило, проверяет целостность.

Электронную подпись в праве использовать физическое и юридическое лицо, в качестве аналога собственноручной подписи. У документа, подписанного электронной подписью, возникает юридическая сила.

Электронным документом может быть финансовый документ, который был создан при помощи программы и хранится на съемном/магнитном диске.

Средствами цифровой подписи являются средства, которые обеспечивают следующие функции:

• создание электронной подписи в электронном сообщении или документе;
• подтверждение c использованием сертификата пользователя подлинности электронной подписи;
• создание закрытых и открытых ключей;

Электронные подписи разделяются федеральным законом «Об электронной подписи» от 06.04.2021 N 63-ФЗ [17]:

• простые подписи (например, коды, пароли). Данные подписи имеют самый низкий уровень защиты, а соответственно невозможно проверить автора на наличие изменений в документе;
• усиленная неквалифицированная подпись. Создается с использованием криптографических средств, позволяет определить автора и проверить наличие изменений. Для создания такой подписи необходимо использовать сертификат неаккредитованного центра;  
• усиленная квалифицированная подпись. Создается с использованием криптографических средств, позволяет определить автора и проверить наличие изменений. Для создания такой подписи необходимо использовать сертификат аккредитованного центра ФСБ;  

В основе выпуска электронной подписи лежит открытый ключ. На основе него генерируется открытый сертификат пользователя, данный сертификат содержит пользовательские данные, открытый ключ и электронную подпись. Генерация таких сертификатов возможна только с помощью удостоверяющего центра, который имеет ключ шифрования и является доверенным для сертификата пользователя.  

Все сертификаты основаны на доверии к удостоверяющим центра верхнего уровня. Самым высоким уровнем является федеральный, который находится под управлением федеральных органов (в России такой федеральный орган — Минкомсвязь). Вся система иерархии сертификатов образует инфраструктуру открытых ключей. Как уже было сказано выше, при такой процедуре требуется проверка не только удостоверяющего центра, выдавшего сертификат, но и всех вышестоящих центров.

В России инфраструктура открытых ключей доступна всем желающим. Изначально она была создана агентством Росинформтехнологии на базе Общероссийского государственного информационного центра (ОГИЦ). Однако сейчас федеральный удостоверяющий центр передан в ведение «Ростелекома». Этот телекоммуникационный оператор активно предлагает развивать различные проекты с использованием инфраструктуры открытых ключей.  

Электронная подпись в электронном документе равнозначна собственноручной подписи на бумажном документе при следующих условиях:

• сертификат ключа пользователя не утратил силу;
• осуществлена проверка подлинности электронной подписи в документе;
• электронная подпись используется в соответствии со сведениями, указанными в открытом сертификате пользователя;

У каждого ключа электронной подписи существует UID, который определяет область применения электронной подписи.

Расширенная область действия ключа для финансовых документов ЦБ РФ имеет следующие значения:

1.3.6.1.4.1.10244.5.1.1.5 — UID

1.3.6.1.4.1.10244.5.1.2.2 — UID

1.3.6.1.4.1.3670.5.10.15- UID

Процесс создания цифровой подписи состоит из следующих шагов:

• Выполняется подсчет контрольной суммы для исходного документа. Формируется хэш. (Изменение данных исходных недопустимо, в противном случае будет различный хэш)
• Полученное значение шифруется с использованием секретного ключа отправителя. Таким образом, достигается блокировка модификаций значений контрольной суммы при передаче данных получателю.
• Отправитель посылает получателю: зашифрованный текст (предполагается, что у получателя имеется открытый ключ отправителя), значение контрольной суммы.
• Получатель осуществляет расшифровывание значения контрольной суммы, применяя для этого открытый ключ отправителя, полученный из его сертификата. Успешное расшифровывание контрольной суммы и проверка аутентичности сертификата отправителя гарантирует, что данные были получены из «правильного» источника.
• Далее получатель, используя такие же алгоритмы хеширования, что и отправитель, вычисляет значения контрольной суммы исходных данных. Сравнив полученное значения с тем, что прислал отправитель, проверяется неизменность данных при передаче. Если значения совпали, то изменений не было, в противном случае данные были модифицированы.

Пример подписания и проверки ЭП между двумя пользователями продемонстрировано на рисунке.

Федеральный закон «Об электронной подписи» от 06.04.2021 N 63-ФЗ регулирует отношения в гражданско-правовых области, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.

Обязанность по изготовлению, выдачи, ведения реестра выданных и аннулированных сертификатом наделяются удостоверяющие центры, которые согласно федеральному закону проходят добровольную аккредитацию сроком на 5 лет.

Дополнительно к этому применяются следующие ограничения:

1. Обязательная аккредитация. В 2021 году она стала обязательным условием для подключения к крупным системам электронного документооборота (например, сайт Госуслуги, mos.ru и тд);
2. Техническая совместимость применяемых программно-аппаратных средств для генерации и верификации ЭЦП (USB-носители, ПО) с устройствами, которыми пользуются заявители (ПК, ноутбуками, смартфонами, планшетами) и установленными на них операционными системами;
3. Гарантия уникальности используемых идентификаторов: объектов, номеров электронной подписи и закрытых ключей;

В работе рассматриваются аккредитованные средства криптографической защиты информации: программно-аппаратный комплекс «Валидата УЦ», СКАД Сигнатура, Крипто Про CSP.

АПК «Валидата УЦ» — отечественная реализация инфраструктуры открытых ключей, реализована с использованием международных рекомендаций и стандартов: X.509 версии 3, RFC 5280, PKCS#10, PKCS#7. АПК «Валидата УЦ» имеет Сертификат соответствия ФСБ (СФ/128-2880) [18].

Представляет собой комплекс программных средств:

• центр сертификации;
• центр регистрации;
• сертифицированное ФСБ криптографическое ядро СКЗИ «Валидата CSP»

АПК «Валидата Клиент» входит в состав АПК «Валидата УЦ»  и являтся  клиентским программным средством криптографической защиты информации, предназначенное для установки на рабочее место пользователя. Имеет Сертификаты соответствия ФСБ России СФ/114-2810 и СФ/124-2811. Представляет собой локальный справочник сертификатов пользователя и криптографическое ядро СКЗИ «Валидата CSP».

На основе Web-сервера разработана система «Транзит»  (система защищённого обмена электронными документами на основе квалифицированной электронной подписи), в нее так же водит криптографическое ядро СКЗИ «Валидата CSP».

Для защиты электронной почты разработаны средстава семейства «Курьер», которые используют СКЗИ «Валидата CSP» и входят в АПК «Валидата Клиент».

АПК «Валидата Клиент» на основе файлового обмена :

• Автоматизированный клиент СКЗИ МБ предназначен для клиентов Московской Биржи. Позволяет автоматизировать обработку подписанных и зашифрованных файлов, которыми они обмениваются с Московской Биржей, на уровне файловых каталогов.
• Автоматизированный клиент СКЗИ Сигнатура предназначен для клиентов Центрального банка Российской Федерации. Позволяет автоматизировать обработку подписанных и зашифрованных (со сжатием) файлов при использовании СКАД «Сигнатура».

Криптографические алгоритмы АПК «Валидата Клиент» представлены в таблице

«СКАД Сигнатура» разработана компанией ООО «Валидата» по заказу Банка России и предназначенное для защиты информации в платежной системе Банка России. Данного СКЗИ распространяется Банком России только среди участников его платежной системы. К отличительным особенностям данного СКЗИ можно отнести:

1. Данное СКЗИ реализует собственную инфраструктуру открытых ключей. Справочник открытых ключей содержит сертификаты пользователя, список доверенных и отозванных сертификатов, криптографически защищен на закрытом ключе пользователя. Без ведома пользователя невозможно установить доверенный сертификат в хранилище.
   СКЗИ Верба-OW реализует схожую ключевую модель.
2. Ключи создаются децентрализованы с помощью участников обмена, в качестве центра сертификации выступает Банк России;
3. СКЗИ поддерживает работу с функционально-ключевыми носителями (vdToken);

Криптографические ключи, используемые для взаимодействия с платежной системой Банка России, бывают трех видов: только шифрование; шифрование и подписание; шифрование, подписание и наложение транспортной подписи;

Криптографические алгоритмы СКАД Сигнатура представлены в таблице 2.6.

Таблица 2.6  — Криптографические алгоритмы СКАД Синатура

Для обмена финансовых сообщений с ЦБ РФ будет использоваться ЭП по алгоритму ГОСТ Р 34.10-2021 и хэш-функция ГОСТ Р 34.11-2021.

Компания КриптоПро создана в 2000 году и в настоящее время занимает лидирующее положение по распространению средств криптографической защиты информации и электронной цифровой подписи. Основное направление деятельности компании — разработка средств криптографической защиты информации и развитие Инфраструктуры Открытых Ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов.Продукты компании распространяют более 850 юридических лиц на основании дилерских договоров. Компания выдала более 4 000 000 лицензий на использование СКЗИ КриптоПро CSP и свыше 800 лицензий на использование удостоверяющего центра КриптоПро УЦ, которые применяются различными государственными и коммерческими организациями в системах электронного документооборота, а также востребованы при построении глобальных общегосударственных информационных систем.

КриптоПро CSP 5.0 разработан компанией КриптоПро. Кроме КриптоПро CSP 5.0 у компании еще есть решение КриптоПро ФКН CSP/Рутокен CSP (не извлекаемые ключи на токенах с защищенным обменом сообщениями) и облачная версия — КриптоПро DSS (ключи в облаке) [19].

КриптоПро CSP 5.0  одна из последних разработок компании, в ней поддерживается широкий список платформ, алгоритмов, улучшено быстродействие, удобный пользовательский интерфейс. Работа со всеми ключевыми носителями в связке с  КриптоПро DSS и КриптоПро ФКН CSP/Рутокен CSP теперь единообразна. Для переведа разработанных АБС компаний и переход на новую версию КриптоПро  не требуется переработка и доработка, API и интерфейс остается единым.

Назначение КриптоПро CSP:

• Создание и проверка ЭП;
• Осуществление шифрования и имитозащиты;
• Обеспечение защищенного соединения по протоколам TLS, и IPsec;
• Контроль системного и прикладного программного обеспечения для защиты от НСД;

В КриптоПро CSP 5.0 реализованы не только актуальные криптографические алгоритмы, но еще и возможность использования привычных носителей для хранения секретных ключей RSA и ECDSA.

Криптографические алгоритмы КриптоПро CSP 5.0 представлены в таблице.

Хранение облачных ключей и их использование осуществляется с помощью CryptoAPI, чтобы обеспечивает их доступность не только пользовательскими приложениями, но и приложениями от компании Microsoft.

В КриптоПро CSP 5.0 добавлена поддержка носителей, реализующие протокол SESPAKE, в рамках которого пароль пользователя не передается, что позволяется установить защищенный канал между криптопровайдером и носителем. При использовании подобных носителей полностью решается проблема безопасной работы с неизвлекаемыми ключами.

Многие пользователи КриптоПро хотят работать с не извлекаемыми носителями информации, но не повышать их до уровня функционального ключего носителя, для них специально была добавлена поддержка популярных носителей Рутокен (ЭЦП 2.0, JaCarta-2 ГОСТ и InfoCrypt VPN-Key-TLS). Дополнительно пользователи могут работать с токенами и смарт-картами без криптографических сопроцессоров (Gemalto/SafeNet, Multisoft, NovaCard, Rosan, Alioth, MorphoKST и СмартПарк и тд).

Кроме поддержки ключей на носителях также реализовано хранение ключей в реестре Windows, на жестком диске, флеш-накопителях на различных платформах.