Варианты хранения криптографических ключей / Блог компании GlobalSign / Хабр

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость  его устарела. Однако приказ все еще юридически действителен, а в 2021 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция.

Что такое сертификат эцп

Сегодня все чаще встречается дистанционное оформление бумаг. Сделки заключаются удаленно, присутствие сторон необязательно. Удостоверяющий центр выпускает специальную бумагу в электронном или бумажном формате. С его помощью подтверждается подлинность цифровой подписи, перекрывается доступ сторонним лицам к закрытой информации.

В сертификате ЭЦП содержатся следующие данные:

  • сведения о владельце;
  • срок действия;
  • название удостоверяющего центра, издавшего документ;
  • наименование средства;
  • проверочный ключ;
  • информация об ограничениях в области применения.

В отдельных случаях в него включаются дополнительные данные пользователя и издателя, адреса служб штампов времени и действующих статусов сертификатов и т.п.

Аккредитованный удостоверяющий центр в момент выпуска документа генерирует ключ проверки. При этом сохраняются сведения о владельце электронной подписи в специальном файловом массиве.

Что представляет собой ЭЦП

Электронная подпись – это закодированная информация о лице, как физическом, так и юридическом, которая необходима для его идентификации при подаче документов в электронном виде. Также она позволяет защитить документ от редактирования сторонними лицами.

Документы, заверенные электронной подписью, имеют точно такую же юридическую силу, как и документы подписанные вручную.

Введение

Прогресс не стоит на месте и все больше предпринимателей внедряют в свою деятельность систему электронного документооборота. Посредством интернета теперь можно представлять отчетные документы, декларации, заявления на участие в различных тендерах и др. Все эти документы необходимо заверять электронной подписью, которая свидетельствует об их подлинности.

Что такое порядок использования и хранения ключей эп и скзи

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что такое журналы учета ключей эп

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.

Кем осуществляется выдача

Электронную подпись могут выдавать исключительно организации, имеющие аккредитацию Минкомсвязи. Со списком данных организаций можно ознакомиться здесь. На этом ресурсе Вы также можете получить подробные сведения о правилах подачи заявления и о пакете документов, которые необходимо представить для получения электронной подписи.

Процесс использования

Как уже было сказано ранее, использовать подпись можно после установки криптопровайдера. Он расшифровывает крипто-ключ в месте хранения и производит подписание. Сам процесс подписания состоит из сложных математических алгоритмов с вовлечением большого количества символов.

Где можно применить ЭЦП

Так как электронная подпись равнозначна обычной подписи от руки, то использовать ее можно во всех областях электронного документооборота. Особенно это удобно при представлении документов в налоговую службу, пенсионный фонд, страховые компании и т.д. Также ею заверяют коммерческие сделки.

Аппаратные криптографические модули (hsm)

Варианты хранения криптографических ключей / Блог компании GlobalSign / Хабр

HSM — ещё одно аппаратное решение для хранения ключей, особенно если вы не хотите полагаться на отдельные токены либо это кажется слишком обременительным. В то время как токены больше ориентированы на ручной ввод или отдельные приложения (например, подписание небольшого количества документов или кода, аутентификация в VPN или других сетях)

Традиционно HSM — это локальные физические устройства, требующие квалифицированных ресурсов для управления и обеспечения базовых требований и SLA. Обслуживание HSM может оказаться дорогим и ресурсоёмким процессом, что в прошлом препятствовало распространению этой технологии.

Примером может служить знакомый многим сервис Key Vault в облаке Microsoft Azure, которое хранит криптографические ключи в облачном HSM от Microsoft. Если у вас небольшая организация, которая не позволит себе покупку и управление собственным HSM, то это отличное решение, которое интегрируется с публичными центрами сертификации, включая GlobalSign.

Если вы рассматриваете вариант с подписью документов, то недавно мы запустили новую службу Digital Signing Service, где тоже используется облачное хранилище HSM для закрытых ключей. Стоит отметить, что новая служба поддерживает индивидуальные подписи всех сотрудников.

В прошлом в большинстве HSM-решений для подписи поддерживались только идентификаторы на уровне отделов или организаций (например, бухгалтерия, маркетинг, финансы), а не отдельных людей (например, Джон Доу). Следовательно, для работы на уровне отдельных сотрудников организациям приходилось разворачивать инфруструктуру токенов, которая, как мы отметили выше, может оказаться обременительной.

Будущие методы хранения ключей

Мы рассмотрели основные варианты, которые использовались в течение многих лет. Но кажется, что ничто в мире информационной безопасности, в том числе и хранение ключей, не застраховано от влияния IoT, так что разрабатываются новые варианты.

По мере того как все больше и больше устройств подключаются к сети с необходимостью аутентификации и безопасного обмена данными, многие разработчики и производители обращаются к решениям на основе PKI. В свою очередь, это приводит к новым соображениям, требованиям и технологиям защиты закрытых ключей. Ниже приведены две тенденции, которые мы видим в этой области.

В операционной системе windows xp

В ОС Windows XP открытые ключи размещаются в персональном хранилище. От несанкционированного изменения общедоступные сведения защищает электронная подпись аккредитованного центра сертификации. Для просмотра ищем папку Documents and Setting. После этого вводится следующая информация:

  • имя пользователя;
  • ApplicationData;
  • Microsoft SystemCertificates;
  • My Certificates;
  • наименование профиля.

Открытые сертификаты регистрируются в локальном реестре. Процедура повторяется при каждом входе в систему Windows Server.

В перемещаемых пользовательских профилях контейнер закрытого ключа хранится в папке RSA на доменном контроллере, защищенном специальным шифрованием с использованием симметричного кода. Для создания базового шифра, состоящего из 64 символов, задействуется генератор случайных чисел. Загрузка сертификационного файла выполняется на время работы компьютера.

В реестре

Допускается хранить сертификаты ЭЦП в реестре по аналогии со стандартными ключевыми носителями. Найти перенесенные ключи цифровой подписи можно в папках:

Под Keys SID подразумевается персональное пользовательское имя, удостоверяющее подлинность подписи.

В системе linux

Задействовав утилиту Csptest, размещенную в директории /opt/cprocsp/bin/<архитектура>, находят сертификационные файлы ЭЦП в операционной системе Linux.

Перечень открытых ключей персонального компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys.

Список сертификатов пользователя: csptest -keyset -enum_cont -verifycontext -fqcn.

Наименования контейнеров задаются в формате, воспринимаемом бинарными программами, составляющими дистрибутив CSP.

На жестком диске размещено хранилище HDImageStore, куда заносятся закрытые ключи. Доступ к ним открыт и для JCP.

Для хранения сертификатов в ОС Linux создается специальная директория. Путь к ним открывается вручную вводом особых команд.

Доверенный платформенный модуль (tpm)

Модули TPM сами по себе не новы, но всё чаще их используют для защиты закрытых ключей. Доверенный платформенный модуль можно использовать для хранения (или переноса) корневого ключа и защиты дополнительных ключей, созданных приложением. Ключи приложений нельзя использовать без TPM, что делает его очень полезным методом аутентификации для оконечных точек, таких как ноутбуки, серверы и производители устройств Интернета вещей.

Читайте также:  Электронная подпись (ЭЦП) для физического лица | Купить и получить в компании Тензор

IoT создал проблему, когда много анонимно взаимодействующих устройств облегчают хакерам перехват сообщений или имперсонификацию устройств. Модуль TPM внедряется ещё на этапе производства для защиты криптографического ключа и, следовательно, для надёжной идентификации устройства.

При производстве генерируется пара из закрытого и открытого ключей. Открытый ключ отправляется в центр сертификации для подписания и выдачи цифрового сертификата. Закрытый ключ никогда не покидает устройство. Он хранится на чипе и не может быть экспортирован/скопирован/уничтожен. Теперь сертификат — это паспорт устройства, а защищённый закрытый ключ формирует аппаратный корень доверия.

Мы тесно сотрудничаем с Infineon для разработки решений Интернета вещей, сочетающих идентификацию устройств на основе PKI с корнями доверия на основе TPM. Для получения дополнительной информации ознакомьтесь с подтверждением концепции: «Безопасная аутентификация и управление оборудованием с помощью облачных служб сертификатов GlobalSign и OPTIGA TPM от Infineon.»

Как посмотреть

Для просмотра перечня проверочных ключей электронно-цифровой подписи, удаления элементов или копирования на внешний носитель пользуются браузером Internet Explorer, панелью управления или специфическими утилитами.

Как правильно хранить ключ личной электронной подписи

Варианты хранения криптографических ключей / Блог компании GlobalSign / Хабр

Как известно, если у стороннего лица есть доступ к закрытому
ключу вашей электронной подписи, последний может от вашего имени устанавливать
ее, что по возможным последствиям аналогично подделке подписи на бумажном
документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого
ключа, что наилучшим образом реализовано в специализированных хранилищах. К
слову, электронная подпись это не сохраненная в виде файла картинка с вашими
закорючками, а строка бит, полученная в результате криптографического
преобразования информации с использованием закрытого ключа, позволяющая
идентифицировать владельца и установить отсутствие искажения информации в
электронном документе. У электронной подписи имеется и открытый ключ – код,
который доступен всем, с помощью него можно определить, кто и когда подписал
электронный документ.

Сейчас наиболее распространенный вариант хранения закрытого
ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в
том числе:

  • ключ электронной подписи необходимо
    устанавливать на все компьютеры, на которых работает пользователь. А это,
    во-первых, неудобно, во-вторых, потенциально небезопасно. Почему? Получив
    доступ к системе (например, пользователь забыл заблокировать систему пред
    уходом), можно беспрепятственно подписывать документы или скопировать ключ,
    используя средства экспорта;
  • для
    экспорта/импорта закрытого ключа, например, если возникнет необходимость
    переехать с одного рабочего места на другое, необходима определенная
    квалификация и права доступа. Как вариант, можно оформить заявку
    администраторам, но это потеря времени и не всегда удобно.

Теперь вернемся к специализированным хранилищам. На текущий
момент в некоторых системах электронного
документооборота
реализована возможность использования хранилищ, например
e-Token и Rutoken. Что же такое e-Token или Rutoken (часто называют просто
«токен»)? Это защищенное хранилище ключей в виде USB-брелоков и смарткарт,
доступ к которому осуществляется только по пинкоду. При вводе неверного пинкода
более трех раз хранилище блокируется, предотвращая попытки доступа к ключу
путем подбора значения пинкода. Все операции с ключом производятся в памяти
хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается
перехват ключа из оперативной памяти.

Помимо указанных выше преимуществ при использовании
защищенных хранилищ можно выделить следующие:

  • гарантируется
    сохранность ключа, в том числе при потере носителя на время, необходимое для
    отзыва сертификата (ведь о потере ЭП необходимо срочно сообщать в
    удостоверяющий центр, как сообщается в банк при потере банковской карты);
  • нет
    необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с
    которого работает пользователь;
  • «токен» можно
    одновременно использовать для авторизации при входе в операционную систему
    компьютера и в СЭД. То есть он становится персональным средством аутентификации.

Если СЭД имеет интеграционные решения со специализированными
хранилищами для закрытых ключей, то все преимущества проявляются и при работе с
системой.

Рассмотрим вариант, когда пользователь хранит ключ в
специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже
при утере мобильного рабочего места (при условии сохранения «токена»), можно не
беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет
скопировать закрытый ключ и подписать электронные документы от имени этого
пользователя.

Использование специализированных хранилищ предполагает
дополнительные расходы, но при этом значительно увеличивается уровень
обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты
рекомендуют использовать подобные устройства в работе, но выбор, конечно,
всегда остается за вами.

Автор статьи: Алена Чукарева

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

  1. Журнал поэкземплярного учета СКЗИ.
    В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

  1. Технический или аппаратный журнал.
    Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Лицензиаты фсб

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Места хранения эцп

Допускается использовать ЭЦП одновременно на нескольких устройствах. Предварительно нужно узнать, где на персональном компьютере хранится файл сертификата.

Не теряйте (секретные) ключи от своей крепости!

Хранение закрытого ключа не должно быть чёрной магией. В конечном счёте, правильный вариант зависит от того, кто и для чего использует сертификаты, какие нормы приходится соблюдать, какова цена, текущее окружение и внутренние ресурсы. Надеюсь, эта статья поможет в вашем решении.

_______________________________________________________

Немного теории

Электронная подпись типа CAdES

CMS Advanced Electronic Signatures (CAdES) — это стандарт ЭП, представляющий собой расширенную версию стандарта Cryptographic Message Syntax (CMS). Главным документом, описывающим данный стандарт, является ETSI TS 101 733 «Electronic Signature and Infrastructure (ESI); CMS Advanced Electronic Signature (CAdES)».

CAdES стал развитием CMS, в котором были исправлены такие основные недостатки предшественника, как отсутствие штампа доверенного времени создания ЭП, отсутствие типа содержимого ЭП и отсутствие возможности долгосрочного сохранения свойств юридической значимости ЭП.

Стандарт определяет несколько форматов CAdES, каждый из которых включает в себя предыдущий (в соответствии с представленной ниже последовательностью) и расширяет его:

Форматы стандарта CAdES

1. CAdES-BES (Basic Electronic Signature) — основной и простейший формат стандарта, обеспечивает базовую проверку подлинности данных и защиту их целостности. Он содержит следующие атрибуты:

  • подписываемые данные пользователя (ЭД отправителя);
  • набор обязательных подписываемых атрибутов (атрибуты называются подписанными, если генерация ЭП происходит от совокупности этих атрибутов и данных пользователя);
  • значение ЭП, вычисленное для данных пользователя и подписываемых атрибутов;
  • набор дополнительных атрибутов;
  • набор необязательных подписываемых атрибутов.

2. CAdES-EPES (Explicit Policy-based Electronic Signature) — это формат, содержащий в себе явное указание на выбранный регламент ЭП. В CAdES-EPES добавляется подписываемый атрибут signature-policy-identifier, который определяет идентификатор выбранного регламента ЭП. Подписывая этот идентификатор, отправитель явно указывает, что он применил определенный регламент при её создании. Соответственно, получатель должен осуществить проверку ЭП по тому же регламенту.

Читайте также:  Как зарегистрировать эцп в егаис

3. CAdES-T (Timestamp) — это формат ЭП типа CAdES, в который добавлено поле для фиксации доверенного времени.

4. В CAdES-C (Complete) содержится полный наборо проверочных данных. Она отличается от CAdES-T добавлением неподписываемых атрибутов complete-certificate-references и complete-revocation-references.

Первый атрибут содержит идентификаторы всех сертификатов, используемых при проверке ЭП. Второй атрибут содержит идентификаторы сертификатов из списка отозванных сертификатов (Certificate Revocation Lists, CRL, СОС) и/или ответы, полученные по протоколу проверки актуального статуса сертификатов (Online Certificate Status Protocol, OCSP).

Включение этих атрибутов облегчает получение сведений о сертификатах ключей проверки ЭП, которые необходимы получателю для проверки ЭП, так как при этом данные о действительных и недействительных сертификатах уже будут содержаться в самой ЭП.

5. CAdES-X (Extended) — это формат ЭП типа CAdES, включающий в себя следующие подформаты, включаемые в тип CadES-C:

  • CAdES-X Long — формат долгосрочной расширенной ЭП, который добавляет атрибуты certificate-values и revocation-values. Они представляют собой полные данные сертификатов и СОС, необходимых для проверки подписи CAdES-C даже если их исходный источник недоступен и исключает возможность утери этой информации.
  • CAdES-X Type 1 — добавляет атрибут time-stamp, который содержит штамп времени на всей подписи CAdES-C. Это обеспечивает целостность и наличие доверенного времени во всех элементах ЭП. Тем самым, этот атрибут позволяет защитить сертификаты, СОС и ответы, полученные по протоколу OCSP, информация о которых записана в ЭП (актуален при компрометации ключа центра сертификации, ключа издателя СОС или ключа сервиса OCSP).
  • CAdES-X Type 2 — добавляет в CAdES-C штамп времени, но не на всю ЭП, а только на полные ссылки на сертификаты и СОС.

6. CAdES-X Long Type 1 — этот формат ЭП представляет собой объединение формата CAdES-X Long и CAdES-X Type 1

7. CAdES-X Long Type 2 — этот формат ЭП представляет собой объединение формата CAdES-X Long и CAdES-X Type 2.

8. CAdES-A (Archival) — это формат ЭП типа CAdES, сформированный на основе CAdES-X Long Type 1 или Type 2 путём добавления одного или нескольких атрибутов archive-time-stamp, представляющих собой архивные штампы времени (Рисунок 1). Именно этот формат ЭП используется для архивации долгосрочных ЭП и обеспечения ДАХ при условии возможной проверки юридической значимости хранимого ЭД на длительном временном промежутке (так называемая «интероперабельность во времени»).

Архивная форма ЭП CAdES-A состоит из следующих элементов:

  • полный набор проверочных данных (CAdES-С);
  • значения сертификатов и СОС (CAdES-X Type 1 или CAdES-X Type 2), если они используются;
  • подписанные данные пользователя и дополнительный архивный штамп времени, примененный ко всем данным.

Рисунок 1 – Схема формирования ЭП в формате CAdES-A

Вопросы организации ДАХ связаны не только с ограниченным сроком действительности пользовательского сертификата, установленным российским законодательством в 1 год 3 месяца, но и модификациями криптографических алгоритмов, что в свою очередь обусловлено ухудшением свойства их стойкости в связи с развитием методов криптоанализа и вычислительной отрасли.

Поверх ЭП в формате CAdES-A может быть наложен дополнительный штамп времени, что защитит ее содержимое при выявлении уязвимостей используемых криптографических хеш-функций, при взломе используемых криптографических алгоритмов и при компрометации ключей.

При этом не стоит забывать, что последовательность штампов времени может предоставить защиту от подделки ЭП при условии, что эти штампы были применены до компрометации ключа службы штампов времени. Таким образом, ЭП в формате CAdES-A позволяет сохранить её подлинность на очень большие периоды времени, а периодическая простановка архивных штампов обеспечит возможность проверки ЭП при обновлении криптографичексих стандартов.

Также важно отметить, что дополнительные данные, необходимые для создания описанных выше форм архивной ЭП, передаются как неподписанные атрибуты, связанные с отдельной ЭП за счет размещения в поле unsignedeAttrs структуры SignerInfo. Таким образом, все атрибуты архивной ЭП являются неподписанными за счет чего не нарушается ее математическая корректность.

Представим все, что было описано выше, в более наглядном табличном виде:

Сравнительный анализ форматов ЭП типа CAdES

Электронная подпись типа XAdES

XML Advanced Electronic Signatures (XAdES) — это стандарт ЭП, представляющий собой расширенную версию стандарта XML Digital Signature (XMLDSig). Главным документом, описывающим данный стандарт, является ETSI EN 319 132-1 «Electronic Signature and Infrastructure (ESI); XAdES digital signatures».

Аналогично ЭП типа CAdES, для ЭП типа XAdES определено несколько форматов, каждый из которых включает в себя предыдущий (в соответствии с представленной ниже последовательностью) и расширяет его:

Подробно отличия каждого последующего в списке формата от предыдущего расписывать не будем, поскольку оно в точности повторяет описание для CAdES, предполагая «обогащение» подписанной структуры аналогичными полями и атрибутами. Основные отличия сведем сразу в табличную форму:

Сравнительный анализ форматов ЭП типа XAdES

Новые возможности продуктов litoria по обеспечению дах

Программный комплекс (ПК) «Litoria Desktop 2» — разработка компании «Газинформсервис», которая предоставляет пользователю возможность полного отказа от бумажного документооборота и перехода к электронному юридически значимому и конфиденциальному взаимодействию.

Формирование и проверка УЭП в формате CAdES-A уже доступны пользователям программного комплекса, начиная с релиза 2.2.3. Таким же форматом ЭП заверяет квитанции, а также выполняет их проверку ПК Службы доверенной третьей стороны «Litoria DVCS» в релизе 5.2.2.

Рассмотрим, процесс формирования архивных УЭП на базе данных продуктов.

1. С помощью «Litoria Desktop 2» сформируем УЭП на электронный документ, который будем передавать в «СДТС «Litoria DVCS» для формирования квитанции:

Рисунок 1 – Формирование УЭП с помощью ПК «Litoria Desktop 2»

Подробную информацию о сформированной УЭП можно посмотреть через вкладку «Проверка и извлечение». Мы видим, что сертификат подписанта действителен по 20 октября 2021 года (рисунок 2), а сертификат сервера TSP, который собственно добавил в подпись штамп времени и сделал ее усовершенствованной (Рисунок 3), — до 22 декабря 2032 года.

Рисунок 2 – Отображение информации об ЭП в интерфейсе ПК «Litoria Desktop 2» (сертификат пользователя)
Рисунок 3 –Отображение информации об ЭП в интерфейсе ПК «Litoria Desktop 2» (сертификат сервера TSP)

В свою очередь действительность УЭП, которой заверен ЭД, определяется сроком действительности сертификата сервера штампов времени. Но здесь стоит обратить Ваше внимание, что для статьи мы использовали тестовый неаккредитованный УЦ и тестовый TSP, для которых были выпущены неквалифицированные сертификаты.

А что же нам делать, когда документ должен храниться более 15 лет? Как раз тут вступает в игру архивный формат ЭП, проставляемой на квитанции (с помощью ПК «СДТС «Litoria DVCS»).

2. Зайдем в личный кабинет пользователя ПК «СДТС «Litoria DVCS» и отправим подписанный ЭД для формирования квитанции о проверке (Рисунки 4, 5).

Рисунок 4 – Формирование квитанции на ЭД в ПК «СДТС «Litoria DVCS»
Рисунок 5 – Детальная информация по квитанции в ПК «СДТС «Litoria DVCS»

Проверка ЭД выполнена, квитанция сформирована. Теперь комплекс в автоматизированном режиме будет выполнять анализ действительности каждой из хранимых квитанций, которая определяется сроком действия сертификата сервиса штампов времени, и по наступлении события окончания его действия, квитанции будут перевыпускаться, т.е. формируется цепочка юридически значимых документов «исходный ЭД – квитанция 1 – квитанция 2 — …. – квитанция n»

Организации, которые не являются лицензиатами фсб

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.
Читайте также:  Как установить сертификат с использованием ruToken или eToken, если сертификат не записан на носитель

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Особенности хранения ключей эп (кэп) | информационный центр

Вопрос хранения ключей электронной подписи имеет первостепенное значение, так
как ЭП (КЭП) обеспечивает легитимность и подлинность многих юридически значимых
операций.

Квалифицированную электронную подпись, как правило, можно хранить на
специализированном средстве криптографической защите информации (СКЗИ),
Flash-карте, жёстком диске цифрового устройства или компьютера, в реестре
цифрового устройства или компьютера.

Специализированные СКЗИ на территории России производят два монополиста:

  • Компания Актив – Рутокен;
  • Компания Алладин Р.Д. выпускала 2 разновидности устройств – eToken (на данный момент не производится, но поддержка клиентов будет осуществляться до 2021 года) и Ja Carta.

В соответствии с законом
«Об электронной подписи», Вы сами как владелец ЭП (КЭП) несете ответственность за хранение ее закрытого ключа. Обеспечить максимальную защиту и сохранность ключа Вам поможет именно СКЗИ, так как это средство использует передовые технологии и разработаны профессионалами сферы
информационной безопасности.

АО «Информационный центр» (АО ИЦ) предлагает различные виды Рутокенов, а также оказывает услуги по их обслуживанию. Узнать больше о перечне наших услуг Вы всегда можете в разделе сайта «Удостоверяющий центр (УЦ)»

Подпись в формате cades-a с помощью пк «litoria desktop 2»

Рассмотрим упомянутый второй, пока что механизированный, способ формирования ЭП в формате CAdES-A посредством ПК «Litoria Desktop 2».

1. Запускаем ПК «Litoria Desktop 2», формируем УЭП уже известным способом

2. Заходим в директорию «Архивное хранение», в папку «edsArch» копируем наш подписанный ЭД и запускаем утилиту Gis.ArchUpgrade (установка проходит в процессе инсталляции комплекса в соответствующей директории, указанной пользователем, Рисунок 6)

Рисунок 6 – Подготовка ЭД к формированию ЭП в формате CAdES

3. По завершении процедуры на экране у пользователя в консоли будет выдано соответствующее уведомление (рисунок 7).

Рисунок 7 – Успешное формирование УЭП в формате CAdES-A

Еще раз подчеркнем, что формат подписи CAdES-A предполагает добавление в исходную ЭП неподписанных атрибутов, что не нарушает математической корректности исходной ЭП.

4. Теперь переходим в папку «edsArch» и сформированный по итогу работы утилиты файл проверяем в ПК «Litoria Desktop 2» (Рисунки 8, 9, 10).

Рисунок 8 – Сформированный утилитой Gis.ArchUpgrade файл с архивной подписьюРисунок 9 – Результаты проверки архивной ЭП в ПК «Litoria Desktop 2» (сертификат пользователя)Рисунок 10 – Результаты проверки архивной ЭП в ПК «Litoria Desktop 2» (сертификат сервиса TSP)

И в завершение — фрагмент кода ASN.1 архивного штампа времени:

Способы добавления новой эцп

Для добавления новой ЭЦП с помощью программы «КриптоПро» рекомендуется использовать способ установки через контейнер. Для этого нужно выйти из меню «Пуск» в панель управления, найти и открыть соответствующую утилиту. Во вкладке «Сервис» активировать опцию просмотра. Порядок дальнейших действий:

  • кликнуть на «Обзор», нажав «Ок», подтвердить согласие после выбора из предлагаемого списка нужного контейнера;
  • в новом окне нажать «Далее» и запустить функцию установки;
  • согласиться с условиями, описанными в предложении системы.

Установить выбранный сертификат в последних версиях программного обеспечения можно кликом на одноименную кнопку в разделе «Общие». Место хранения загруженных ключей – папка «Личное». Альтернатива автоматическому выбору хранилища – ручной ввод адреса сертификационного файла ЭЦП.

При правильном выполнении процедуры Windows оповещает пользователя о благополучном завершении импорта. Новая электронно-цифровая подпись добавлена на жесткий диск персонального компьютера.

Альтернативный способ установки ЭЦП через меню личных сертификатов не заслуживает внимания ввиду редкого использования.

Типичные приложения:

Как правило, все варианты использования, перечисленные для хранилищ в ОС/браузере (подпись документов и кода, аутентификация клиента, Windows IIS), поддерживают крипто-токены или смарт-карты — если есть соответствующие драйверы. Однако это не всегда практично (например, в веб-серверах или автоматизированных системах сборки для подписи кода, которые будут требовать ввод пароля каждый раз при применении подписи).

Соответствие нормативным требованиям — одна из основных причин использования криптографических токенов.

Физически неклонируемые функции (puf)

Технология физически неклонируемых функций (PUF) — это сдвиг парадигмы в защите ключей. Вместо хранения ключей (с вероятностью физической атаки) они генерируются из уникальных физических свойств статической памяти SRAM конкретного чипа и существуют только при включении питания.

То есть вместо надёжного хранения закрытого ключа один и тот же ключ восстанавливается снова и снова по требованию (пока устройство не выйдет из строя). Этот ключ гарантированно уникален, потому что при генерации используется присущая неконтролируемая неупорядоченность в кремниевой структуре чипа.

Технология PUF в сочетании с доверенной средой исполнения (TEE) — привлекательное решение, если требуется недорогая, простая в интеграции и ультра-безопасная защита ключа. PUF вместе с PKI составляют исчерпывающее решение для идентификации.

Наш партнёр Intrinsic ID разработал такую систему подготовки ключа на основе SRAM PUF, которая производит уникальные, защищённые от подделки и копирования идентификаторы устройств на аппаратном уровне. Используя наши службы сертификации, мы переводим эти идентификаторы в цифровые удостоверения, добавляя возможности PKI.

Таким образом, каждому устройству присваивается уникальная, защищённая от клонирования пара ключей, которая не хранится на устройстве в выключенном состоянии, но устройство способно воссоздать этот ключ по запросу. Это защищает от атаки на выключенное устройство.

Дополнительно о нашем совместном решении для идентификацииустройств Интернета вещей см. недавний вебинар: «Стойкие идентификаторы устройств с сертификатами на основе SRAM PUF».

Через «криптопро»

Алгоритм действий:

  • нажать кнопку «Пуск»;
  • в строке «Все программы» выбрать «КриптоПРО»;
  • войти в раздел «Сертификаты».

На дисплее появится окно со списком всех установленных на жестком диске сертификационных файлов. Информацию можно просматривать, копировать и удалять. Для этого необходимо обладать правами администратора. Пользователям в гостевом статусе доступ к функциям программы закрыт.

Через certmgr

Встроенный в ОС Windows менеджер позволяет работать с хранящимися на компьютере сертификатами. Используя его, можно просмотреть информацию о действующих ключах, данные удостоверяющего центра-партнера корпорации Microsoft для предоставления привилегий отдельным программам.

Порядок действий:

  • войти в меню «Пуск»;
  • в командную строку ввести certmgr.msc и нажать Enter;
  • в появившемся окне выбрать вкладки «Личное» и «Корневые сертификаты удостоверяющего центра», содержащие полный перечень установленных проверочных ключей.

Невозможно запустить приложение, не обладая правами администратора. Другой недостаток программы – некорректное отображение отдельных электронных подписей из-за проблем в работе с зашифрованными специальным кодом сертификатами.

Через internet explorer

В Internet Explorer для просмотра информации об ЭЦП действуют по инструкции:

  • открыть страницу веб-обозревателя;
  • в меню выбрать пункт «Свойства браузера»;
  • во появившемся окне кликнуть на раздел «Содержание»;
  • нажать на графу «Сертификаты».

Откроется вкладка, содержащая полный перечень установленных сертификационных файлов. Программное обеспечение сторонних поставщиков отображается отдельно.

Альтернативный вариант действий включает прохождение по такому пути: «Центр управления сетями и общим доступом» – «Свойства браузера» – «Содержание» – «Сертификаты».

Преимущество просмотра ключей через веб-обозреватель – отсутствие необходимости обладания правами администратора. Недостаток – невозможность удаления информации.

Через контроль управления

Разработчики программного обеспечения встроили в Windows специальный инструмент, позволяющий просматривать сертификационные файлы ЭЦП. Порядок действий:

  • сочетанием клавиш Win R и вводом «cmd» вызвать командную строку и нажать «Энтер»;
  • после этого перейти по команде mmc в терминал;
  • открыть вкладку «Файл»;
  • в предлагаемом перечне выбрать «Добавить изолированную оснастку»;
  • кликнуть на раздел «Сертификаты».

Для благополучного выполнения процедуры обязательно обладание правами администратора.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector