УЦ VipNet

Общие положения.

Для создания инфраструктуры электронной цифровой подписи в корпоративных вычислительных сетях коммерческих и государственных организаций, обеспечивающей выполнение требований Федерального закона "Об ЭЦП", высокий уровень безопасности ее функционирования и требований к составу и техническим характеристикам программно-аппаратного комплекса "Удостоверяющий центр", предлагается использовать программное обеспечение (ПО) технологии ViPNet с криптографическим ядром "Домен-К", имеющее сертификаты ФАПСИ (классы КС1, КС2 - для криптографического ядра "Домен-К" и 4 класс по требованиям ФАПСИ - для персонального сетевого экрана ViPNet) и Гостехкомиссии России (класс 1В - для автоматизированных систем и 3 класс - для межсетевых экранов), в следующем составе:

  • ПО ViPNet [Центр управления сетью] (ЦУС) предназначено для регистрации пользователей и управления безопасностью созданной инфраструктуры ЭЦП;
  • ПО ViPNet [Удостоверяющий и ключевой центр] (УКЦ) предназначено для выпуска цифровых сертификатов как собственных пользователей (сотрудников организации), так и внешних пользователей (физических и/или юридических лиц), которые должны иметь возможность использовать в отношениях с организацией ЭЦП (например, в системах "клиент-банк"). ПО ЦУС и УКЦ поставляется в составе инсталляционного комплекта ViPNet [Администратор].
  • ПО ViPNet [Центр регистрации] предназначено для регистрации внешних пользователей (физических и/или юридических лиц) и получения для них в УКЦ цифровых сертификатов.
  • ПО ViPNet [Координатор] предназначено для выполнения функций межсетевого экрана и сервера управляющих и почтовых сообщений, через который осуществляется взаимодействие с УКЦ.
  • ПО ViPNet [КриптоСервис], предназначено для обеспечения необходимой функциональности работы с электронной цифровой подписью "Домен-К" (подпись, проверка подписи и т.д.), а также для автоматизированного защищенного обновления ключей, справочников и сертификатов электронной цифровой подписи.

В качестве дополнительного ПО может быть использовано:

  • ПО ViPNet [Клиент] [Монитор] - VPN и персональный сетевой экран или ПО ViPNet [Персональный сетевой экран] (сертифицирован ФАПСИ для использования в органах государственной власти) предназначено для персональной сетевой защиты компьютеров и исключения доступа к ключевой информации.
  • ПО ViPNet [Клиент] [Деловая почта] - Outlook-подобное приложение, имеющее сертификат Гостехкомиссии по классу 1В и обеспечивающее все задачи, необходимые для делового корпоративного общения, Автопроцессинг файлов для автоматической подписи и доставки файлов, юридически значимые подтверждения о доставке и прочтении документов.

Данное программное обеспечение в защищенном варианте обеспечивает все необходимые механизмы использования ЭЦП с сертификатами X.509, предусмотренные Законом об ЭЦП и международными стандартами.

Алгоритмы для хэширования и подписи реализованы в соответствии со стандартами ГОСТ Р 34.10-94, Р 34.11-94, Р 34.10-2001. Алгоритм шифрования реализован в соответствии со стандартом 28147-89.

Обеспечение безопасности функционирования инфраструктуры ЭЦП в корпоративных сетях

Требуемый уровень безопасности (класс 1 В) обеспечивается использованием программного обеспечения технологии ViPNet, сертифицированного по указанному классу, а также по другим требованиям безопасности Гостехкомиссии и ФАПСИ.

К основным техническим мерам, которые гарантируют высокий уровень безопасности использования инфраструктуры ЭЦП, можно отнести следующие:

  1. Весь информационный обмен, связанный с обеспечением работы инфраструктуры ЭЦП (получение сертификатов, их отзыв, приостановление, возобновление, получение и обновление справочников отозванных сертификатов, справочников сертификатов Главных абонентов сети и др.), производится в зашифрованном виде, что исключает любые стратегии модификации, подмены, навязывания ложной информации, несанкционированного доступа к передаваемой информации.
  2. Весь служебный информационный обмен по ЭЦП обеспечивается специализированным защищенным транспортным модулем MFTP, входящим в состав сертифицированного продукта и использующим протокол сетевого уровня TCP по портам 5000, 5001, 5002, что позволяет путем настроек для пропуска этого протокола на межсетевых экранах исключить возможные сетевые атаки через стандартные протоколы.
  3. Программное обеспечение ViPNet на клиентских станциях обеспечивает криптографический контроль целостности справочников сертификатов Главных абонентов УКЦ, что гарантирует их защиту от подмены. Все другие справочники защищены от подмены криптографическими контрольными суммами и подписью УКЦ.
  4. УКЦ ViPNet производит кросс сертификацию сертификатов других удостоверяющих центров, что позволяет центральной администрации контролировать надежность других удостоверяющих центров. Подпись лица, которому сертификат выдан другим удостоверяющим центром, признается действительной, только в случае наличия на компьютере заверенного своим УКЦ сертификата этого другого удостоверяющего центра, выдавшего сертификат данному лицу.
  5. Межсетевой экран ViPNet [Координатор], защищающий УКЦ, совмещен с сервером транспортного модуля MFTP. Сетевые узлы имеют возможность взаимодействовать только с координатором и не имеют возможности прямого взаимодействия с УКЦ и Центром управления, что позволяет на межсетевом экране пресечь любые сетевые атаки даже со стороны зарегистрированных пользователей.
  6. Если на клиентские компьютеры возможны сетевые атаки, то для защиты криптографических модулей и ключей ЭЦП на них целесообразна установка модуля ViPNet [Клиент] или его составляющей ViPNet [Персональный сетевой экран], сертифицированной ФАПСИ для использования в органах государственной власти. Модуль ViPNet [Клиент] дополнительно к персональному сетевому экрану создает зашифрованный туннель до ViPNet [Координатора], блокируя при этом любой открытый трафик, что полностью исключает любые сетевые атаки на компьютер пользователя.

Масштабируемость решения

Центр управления и УКЦ ViPNet могут обеспечить автоматическое защищенное взаимодействие более чем с 65 000 сетевыми узлами. При этом в одном УКЦ может быть зарегистрировано более чем 65 000 абонентов сети для выдачи им сертификатов.
В рамках существующих положений "Закона об ЭЦП" предполагается работа УКЦ ViPNet в схеме дочерних УЦ

При этом, работа ведомственных УЦ сертифицируется Корневым Удостоверяющим центром.
При необходимости легко могут быть созданы подведомственные Центры управления и УКЦ (Корпоративные УЦ) с делегированием им прав по выдаче сертификатов и автоматическим взаимодействием между собой.