CLEARWAY INTEGRATION — Технологии

Pki платформа по управлению цифровыми сертификатами

Safenet authentication manager

SafeNet Authentication Manager — является наиболее подходящим решением, если вам необходимо внедрить на предприятии электронные ключи eToken и количество сотрудников превышает 50 человек.

При увеличении штата сотрудников и высокой текучке кадров, ошибки в процессе предоставления доступа сотрудникам и его блокировка могут приводить к самым негативным последствиям:

• Увеличение времени от момента према сотрудника на работу до начала выполнения им своих непосредственных обязанностей. Пользователь, прежде чем приступить к работе должен получить доступы и пароли к различным приложениям. Графически такой процесс может быть представлени на рисунке ниже.

• Использование идентификатора после увольнения, потому что администратор забыл заблокировать доступ сотруднику.

В качестве решения подобных проблем мы готовы предложить вам современное решение на базе продукта SafeNet Authentication Manager.

SAM позволяет решить подобные проблемы и предоставлять весь функционал из одной консоли.

При этом решаются следующие задачи:

• Управление идентификационной и аутентификационной информацией из единой точки. Пользователю теперь нет необходимости проходить долгую процедуру получения доступа к приложениям, обходя одного администратора за другим.

• Получение только тех паролей и сертификатов, которые необходимы пользователю для работы. Использование механизмов коннекторов и внутренних политик SAM, тесно интегрированных со службой каталогов, позволяет в автоматическом режиме предоставлять доступ только к тем приложеням, которые действительно нужны пользователю.
• Контроль за устройствами. Возможность составления отчетов о состоянии устройств, их количестве, остатках и т.д. позволяет эффективно решать вопросы контроля за использованием устройств.

Также предлагаемое решение имеет следующие преимущества:

• Гибкость решения позволяет с легкостью реализовать различные сценарии использования системы.
• Интергация с Active Directory и AD LDS позволяет внедрить данное решение за короткое время и запустить в эксплуатацию с минимальными затратами.
• Решение использует в своей работе веб-службы, что обеспечивает администраторам большую мобильность при управлении электронными ключами. Теперь имеется возможность распределять нагрузку между пользователями при решении различных проблем (обновление контента, смена ПИН-кода, переименование ключа и.т.д.).
• Ролевая модель SafeNet Authentication Manager позволяет реализовать различые сценарии передачи смарт-карты в эксплуатацию, ее сопровождения и вывода.

Стандартный проект внедрения включает следующие этапы:

• Обследование. На данном этапе мы рассмотрим вашу инфраструктуру на предмет возможности внедрения SAM.
• Планирование. Мы подготовим план внедрения решения. Определим основные бизнес-приложения, с которыми будет производиться интеграция решения.
• Проектирование. Мы дадим описание решения в технических деталях.
• Внедрение.
• Подготовка документации. Во время выполнения этапа внедрения мы подготовим необходимую документацию в соответствии с особенностями конкретного проекта.

При этом в результате внедрения вы получаете полноценное масштабируемое решение, позволяющее в дальнейшем добавлять новый функционал.

Автоматизация

Некоторые операции могут инициироваться и выполняться автоматически без участия администраторов. Это существенно снижает их нагрузку и увеличивает эффективность управления жизненным циклом сертификатов и смарт-карт.

Например, при истечении срока действия сертификата на смарт-карте FIM CM может отправить пользователю сообщение о необходимости обновления смарт-карты. От пользователя потребуется только пройти по ссылке на портал, вставить карту в считыватель и ввести ПИН. Без применения FIM CM подобная оптимизация невозможна.

Автоматическое обновление ключей

Сертификат имеет ограниченный срок действия, который устанавливается в зависимости от возможностей современных криптографических алгоритмов и используемых длин ключей, а также с учетом практических соображений (например, объем данных, защищаемых отдельным ключом, обычно лимитируется).

Безусловно, большинству пользователей PKI кажется обременительной и раздражающей необходимость периодически вручную обновлять каждый свой сертификат. Пользователи обычно не помнят дату истечения срока действия своего сертификата, и поэтому обнаруживают это только тогда, когда бывает слишком поздно (то есть когда сертификат перестает действовать).

Следовательно, они утрачивают возможность пользоваться сервисами PKI до тех пор, пока не выполнят процедуру обновления сертификатов. Причем в этом состоянии процедура обновления несколько более сложна и требует внешнего обмена с УЦ, аналогичного процессу инициализации.

Решение проблемы заключается в том, чтобы реализовать PKI таким способом, при котором обновление ключа или сертификата управляется самой PKI полностью автоматически, без какого бы ни было вмешательства пользователя. Независимо от назначения сертификата проверяется его срок действия, и когда срок истекает, начинается операция обновления и генерируется новый сертификат, который заменяет старый.

Авторизация

Сертификаты могут использоваться для подтверждения личности пользователя и задания полномочий, которыми он наделен. В числе полномочий субъекта сертификата может быть, например, право просматривать информацию или разрешение вносить изменения в материал, размещенный на web-сервере.

Архив сертификатов

На архив сертификатов возлагается функция долговременного хранения (от имени УЦ ) и защиты информации обо всех изданных сертификатах. Архив поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения.

Информация, предоставляемая УЦархиву, должна быть достаточной для определения статуса сертификатов и их издателя. Архив должен быть защищен соответствующими техническими средствами и процедурами.

Верификация (проверка) цифровой подписи

Посредством этого сервиса устанавливается подлинность сообщения и соответствующей ему цифровой подписи.

Выпуск сертификатов

Сертификаты выпускаются УЦ для пользователей (физических и юридических лиц), для подчиненных ему удостоверяющих центров, а также для удостоверяющих центров сторонних PKI в случае кросс-сертификации.

Концепция единой глобальной PKI, объединяющей всех пользователей в мире, вряд ли воплотится в жизнь в ближайшее время. Скорее всего, сохранится сегодняшняя модель, когда существуют многие независимо реализованные и функционирующие PKI, которые обслуживают разные среды и сообщества пользователей.

Однако с течением времени неизбежно возникает необходимость в объединении, по крайней мере, некоторых инфраструктур из этого множества независимо реализованных PKI. Изменение деловых связей или другие причины вызывают потребность в защищенных коммуникациях между сообществами пользователей разных PKI, даже если раньше защищенная связь между ними не была нужна.

Концепция кросс-сертификации возникла в связи с необходимостью формировать отношения доверия между ранее не связанными реализациями PKI. В отсутствии глобальной PKI кросс-сертификация служит общепринятым механизмом, позволяющим пользователям одного PKI-сообщества полагаться на сертификаты другого PKI-сообщества.

В деловой среде в результате слияния, приобретения новых компаний, сотрудничества с новыми партнерами появляется потребность в установлении связей между различными PKI. Без механизма однородного и контролируемого связывания разных инфраструктур в среде могут возникнуть проблемы с разрушительными последствиями, такие как, например, аннулирование всех сертификатов приобретаемой компании или выпуск новых сертификатов для приобретающей компании. Кросс-сертификация отвечает важным требованиям бизнеса к безопасности взаимного связывания разнородных PKI.

Выработка цифровой подписи

Этот сервис заключается в генерации хэш-кода сообщения и подписи его цифровым образом.

Генерация пар ключей

При помощи этого сервиса генерируется пара ключей (открытый ключ/секретный ключ), секретный ключ хранится в файле, защищенном паролем или иными средствами (например, на смарт-карте или при помощи другого аппаратного или программного средства, гарантирующего конфиденциальность секретного ключа).

В PKI должны поддерживаться две пары ключей для каждого пользователя. В любой момент времени пользователь должен иметь одну пару ключей для шифрования и расшифрования сообщения, а другую пару — для выработки или проверки цифровой подписи.

Другие сервисы

В ряде случаев необходимы и другие сервисы, например, сервисы генерации пар ключей и записи их на смарт-карты, если ключи хранятся на смарт-картах.

Клиентское программное обеспечение

Как известно, технология «клиент-сервер» предполагает обслуживание клиента только по его запросу, тот же самый принцип справедлив и для PKI. Клиентское программное обеспечение (ПО) пользователя должно запрашивать сервисы сертификации и обрабатывать информацию об аннулированных сертификатах, понимать истории ключей и отслеживать своевременное обновление или восстановление ключей, анализировать необходимость проставления меток времени.

Клиентскому ПО необходимо распознавать идентификаторы политики применения сертификатов, вовремя определять статус сертификата и правильно выполнять обработку пути сертификации (
«Валидация пути сертификации»
).

Клиентское ПО — существенный компонент полнофункциональной PKI. Важно отметить, что клиентское ПО не является ни программным обеспечением приложения, ни PKI-совместимым кодом, который размещается внутри приложения, подобного браузеру или приложению электронной почты.

Такая архитектура фундаментально нарушала бы концепцию PKI как инфраструктуры, согласованно обеспечивающей безопасность всем использующим ее приложениям и платформам. Наоборот, клиентское ПО — это код, который существует вне любых приложений и реализует необходимую клиентскую сторону PKI.

Приложения связываются с клиентским ПО через стандартные точки входа, им не приходится самостоятельно взаимодействовать с разными серверами PKI. Таким образом, приложения используют инфраструктуру, а не являются частью инфраструктуры [44].

Компонент клиентской стороны PKI может быть:

Существует много возможностей реализации и вызова клиентского ПО, но главным требованием является независимость этого компонента от приложений, использующих PKI.

Каждый компонент, чтобы быть частью PKI, должен удовлетворять критерию безопасности. Этот критерий характеризует необходимый для целей бизнеса уровень защищенности в пределах допустимого уровня риска [10]. Механизмы безопасности, обеспечивающие заданный уровень защищенности, обычно подразделяют на механизмы защиты аппаратных средств, компьютерной платформы, сети и приложений.

PKI-совместимые приложения не позволяют обеспечить полную безопасность корпоративной сети и должны быть дополнены другими средствами защиты, например, межсетевыми экранами, сервисами аутентифицируемых имен (службами имен) и строгим контролем администратора сети.

Компоненты

FIM CM представляет собой веб-портал, который содержит пользовательскую и администраторскую часть. Интерфейс портала определяется разрешениями конкретного пользователя.

Вся информация по операциям, выполняемым с сертификатами и смарт-картами хранится в базе данных Microsoft SQL.

FIM CM тесно интегрируется со службой каталогов Active Directory — для аутентификации пользователей и хранения конфигурационной информации.

Для оповещения пользователей FIM CM подключается к SMTP серверу.

Для запроса сертификатов FIM CM обращается от имени пользователя к корпоративному Центру Сертификации (Certification Authority).

Конечные субъекты

Конечные субъекты, или пользователи, PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов.

Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.

Краткий обзор возможностей систем управления ключевыми носителями

В этом разделе представлены описания тех продуктов, которые доступны для приобретения на территории России.

Мировой рынок систем управления ключевыми носителями и цифровыми сертификатами

С одной стороны, рынок систем управления ключевыми носителями относительно узок, а количество игроков, имеющих специализированные решения для контроля жизненного цикла физических устройств такого рода, невелико. С другой стороны, в составе продуктов для аутентификации, имеющихся в портфелях десятков производителей, встречаются подсистемы, отвечающие за менеджмент ключей.

Ещё один аспект глобального рынка — решения для управления цифровыми сертификатами, не связанными с физическими устройствами. Здесь мы наблюдаем обратный процесс: разработчики продуктов для управления ключевыми носителями добавляют в свои продукты функции по контролю внешних сертификатов, а также виртуальные ключи.

Нотариальная аутентификация

Нотариальная аутентификация включает аутентификацию отправителя сообщения, подтверждение целостности и юридической силы электронных документов.

К сервисам, базирующимся на PKI, также относятся защищенное датирование, поддержка защищенного архива данных и некоторые другие сервисы, все они более подробно описываются в
«Сервисы, базирующиеся на PKI»
.

Отчеты

FIM CM предлагает целый ряд отчетов, которые позволяют контролировать состояние ИОК и получать необходимую информацию об использовании сертификатов. Ниже приведен список встроенных отчетов:

• Request report
• Certificate expiry summary report
• Certificate usage
• Smart Card inventory report
• Smart card report
• Smart card history report
• Certificate template usage report
• Certificate revocation list report
• Profile template settings report
• Certificate template settings report

Администратор также может получать дополнительную информацию на основе запросов к базе данных SQL.

На рынке существует ряд похожих решений, например от компаний SafeNet, Gemalto и т.д. Однако в основном они специализированы для управления смарт-картами соответствующих производителей. По сравнению с конкурентами, FIM CM обладает следующими преимуществами:

• Может управлять как смарт-картами, так и простыми сертификатами;
• Может управлять смарт-картами широкого спектра производителей;
• Управление основано на гибкой системе workflow и оповещений;

Получить дополнительную информацию по описанной технологии и особенностях внедрения Вы можете здесь.

Поддержка репозитория

Выпущенный сертификат или САС включается в репозиторий (в соответствии со спецификациями стандарта X.500 или иными требованиями), чтобы третьи стороны могли иметь к нему доступ. Обычно репозиторий контролируется УЦ, в некоторых случаях — третьей стороной.

Политики

Политики определяют параметры различных операций по управлению жизненным циклом сертификатов и смарт-карт. Настраивается множество параметров, в том числе определяется следующее:

• Кто может инициировать операцию
• Кто должен одобрить операцию
• Может ли пользователь использовать самообслуживание
• Текст почтовых оповещений
• Другие, специфические для операции параметры

В FIM CM могут быть определены следующие политики:

Общие
• Enroll Policy
• Duplicate Policy
• Renew Policy
• Reinstate Policy
• Recover on Behalf Policy
• Online Updates Policy

Для сертификатов
• Recover Policy
• Revoke Policy

Предотвращение отказа от участия в обмене информацией

Сервис предотвращения отказа от участия в обмене информацией генерирует электронные доказательства времени подписания или передачи данных и аутентификации источника данных, которые могут использоваться для того, чтобы стороны, отправляющие и принимающие электронные сообщения или документы, не могли отрицать свое участие в информационном обмене в целом или на отдельных его этапах [2].

Считается, что если зафиксированы время участия в информационном обмене и источник информации, то сторона, отправляющая информацию, не сможет отрицать того, что сообщение отправлено ею (доказательство происхождения данных), а сторона, принимающая информацию, не сможет отрицать того, что получила сообщение (доказательство доставки данных).

Для краткости этот сервис часто называют сервисом «неотказуемости».
Термин » неотказуемость » интуитивно понятен многим, привычен и широко распространен в среде специалистов, поэтому в дальнейшем изложении сервис предотвращения отказа от участия в обмене информацией будем называть сервисом неотказуемости.

Самое главное требование для предотвращения отказа от цифровой подписи состоит в том, что ключ подписи должен генерироваться и безопасно храниться под контролем его владельца. Когда пользователи забывают свои пароли или теряют свои ключи подписи, на резервирование или восстановление предыдущей пары ключей подписи не накладывается никаких технических ограничений (в отличие от аналогичной ситуации с парами ключей шифрования сообщений). В таких случаях допускается генерация и дальнейшее использование новых пар ключей подписи.

Регистрационный центр

Регистрационный центр (РЦ) является необязательным компонентом PKI. Обычно РЦ получает от удостоверяющего центра полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ и проверять информацию, которая заносится в сертификат.

Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ (паспорт, водительские права, чековую книжку и т.п.) или третьей стороной (например, кредитным агентством — о кредитном лимите пластиковой карты).

Иногда в сертификат включается информация из отдела кадров или данные, характеризующие полномочия субъекта в компании (например, право подписи документов определенной категории). РЦ
агрегирует эту информацию и предоставляет ее УЦ.

УЦ может работать с несколькими регистрационными центрами, в этом случае он поддерживает список аккредитованных регистрационных центров, то есть тех, которые признаны надежными. УЦ выдает сертификат РЦ и отличает его по имени и открытому ключу. РЦ выступает как объект, подчиненный УЦ, и должен адекватно защищать свой секретный ключ.

РЦ объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др.

Регистрация

Регистрационные сервисы обеспечивают регистрацию и контроль информации о субъектах, а также аутентификацию субъектов, необходимую для выпуска или аннулирования сертификатов (от имени УЦ ). Фактический выпуск сертификатов осуществляется УЦ.

Резервное хранение и восстановление ключей

УЦ должен иметь возможность восстановить зашифрованную информацию в случае потери пользователями их ключей шифрования. Это означает, что УЦ необходима система создания резервных копий и восстановления этих ключей.

Этот процесс известен как коммерческое создание резервных копий и восстановление ключей, и он отличается от принудительного депонирования ключей третьей стороной (обычно правоохранительными органами), которая получает доступ к ключам для расшифровки необходимой информации.

Коммерческие сервисы восстановления ключей обеспечивают заблаговременное засекречивание копии ключа на случай утери ключа пользователем, его ухода с работы, утраты пароля, необходимого для доступа к ключу, а также восстановление ключа в ответ на запрос пользователя или его работодателя.

При функционировании PKI иногда возникают ситуации, когда пользователи больше не могут использовать свои секретные ключи:

Для многих сред, особенно корпоративных, утрата данных, защищенных недоступным в данный момент ключом, совершенно неприемлема. В бизнесе часто критически важные документы шифруются симметричным ключом, который, в свою очередь, зашифрован открытым ключом пользователя.

Если соответствующий секретный ключ утерян, то эти документы невозможно восстановить, что может крайне отрицательно отразиться на бизнесе. Наиболее рациональным решением проблемы является резервное хранение и восстановление секретных ключей шифрования.

Сервисы обеспечивают создание резервных копий и восстановление информации в случае уничтожения или устаревания среды хранения.

Репозиторий сертификатов

Репозиторий — специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов (термин » реестр сертификатов ключей подписей» введен в практику Законом РФ «Об электронной цифровой подписи»)

[10]. Репозиторий значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования:

Репозиторий обычно размещается на сервере каталогов, организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol)

[154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами (pki)

Решения для управления ключевыми носителями весьма востребованы отечественными компаниями. Не в последнюю очередь спрос на такие системы обусловлен нормативными актами регулирующих органов, устанавливающими требования к цифровой подписи и особый порядок учёта криптографических ключей, ограничивающими возможности использования несертифицированных решений.

Базовые документы, регулирующие использование криптографических ключей российскими организациями:

Федеральный закон от 6 апреля 2021 г. № 63-ФЗ «О цифровой подписи»,
• приказ ФАПСИ № 152 от 13 июня 2001 г.,
• приказ ФСБ России № 66 от 9 февраля 2005 г.,
• приказ ФСБ России № 378 от 10 июля 2021 г.,
• приказ председателя Гостехкомиссии России № 114 от 4 июня 1999 г.,
• приказ ФСТЭК России № 17 от 11 февраля 2021 г.,
• приказ ФСТЭК России № 21 от 18 февраля 2021 г.,
• приказ ФСТЭК России № 31 от 14 марта 2021 г.,
• приказ ФСТЭК России № 239 от 25 декабря 2021 г.

Кроме того, для поставки программных продуктов в государственные органы и муниципальные службы они должны быть сертифицированы ФСТЭК России и включены в реестр отечественного ПО.

Эти факторы существенно ограничивают деятельность зарубежных поставщиков на рынке систем управления ключевыми носителями, что привело к активному развитию решений российских разработчиков. «Большая четвёрка» отечественных вендоров в этом сегменте выглядит следующим образом:

Следует отметить, что компании «Аладдин Р.Д.» и «Актив» являются также поставщиками аппаратных решений для идентификации — токенов и смарт-карт JaCarta и «Рутокен» соответственно. Мы уже публиковали сравнение ключей различных производителей, представленных на отечественном рынке.

Западные вендоры не в состоянии конкурировать с российскими разработчиками на рынке госконтрактов, но, тем не менее, готовы поставлять свои продукты коммерческим компаниям. Особенно сильны их позиции в секторе автоматизации местных филиалов глобальных компаний. На отечественном рынке работают представительства HID Global и Gemalto (ныне вошедшей в состав Thales).

Отсутствие давления со стороны зарубежных поставщиков, уникальные требования российских регуляторов и высокая конкуренция на внутреннем рынке привели к активному развитию функциональных возможностей отечественных продуктов. Многие из таких систем, представленных в обзоре, не только не уступают западным аналогам, но и превосходят их.

Серверные компоненты pki

Основными серверными компонентами PKI являются сервер сертификатов, сервер каталогов и сервер восстановления ключей, опциональными компонентами — сервер регистрации, OCSP-сервер, обслуживающий запросы пользователей по онлайновому протоколу статуса сертификата Online Certificate Status Protocol (более подробно об этом
«Механизмы распространения информации PKI»
), и сервер проставления меток времени.

На сервер сертификатов возлагаются функции выпуска и управления сертификатами, защищенного хранения секретного ключаудостоверяющего центра, поддержки жизненного цикла сертификатов и ключей, восстановления данных, ведения контрольного журнала и регистрации всех операций удостоверяющего центра.

Сервер каталогов содержит информацию о сертификатах и атрибутах субъектов сертификатов открытых ключей. Через протокол LDAP приложения стандартным образом обращаются к записям каталогов, например, к адресам электронной почты, номерам телефонов, полномочиям и сертификатам пользователей.

Сервер каталогов должен обеспечивать:

Сервер восстановления ключей поддерживает создание резервных копий и восстановление ключей шифрования конечных субъектов. Среди всех компонентов PKI сервер восстановления ключей должен быть наиболее защищен и обеспечивать сильную аутентификацию администратора и пользователей, поддержку конфиденциальности и целостности сообщений, безопасное хранение всех компонентов ключей.

PKI управляет ключами и сертификатами, используемыми для реализации криптографических операций в web-браузерах, web-серверах, приложениях электронной почты, электронного обмена сообщениями и данными, в приложениях, поддерживающих защищенные сетевые транзакции и сеансы связи через World Wide Web или в виртуальных частных сетях на базе протоколов S/MIME, SSL и IPsec, а также для заверения цифровой подписью электронных документов или программного кода [82].

Приложения электронной почты и обмена сообщениями используют пары ключей для шифрования сообщений и файлов и заверения их цифровыми подписями. Системы электронного обмена данными поддерживают транзакции, требующие аутентификации сторон, обеспечения конфиденциальности и целостности данных.

Браузеры и web-серверы используют шифрование для аутентификации, обеспечения конфиденциальности, а также в приложениях электронной коммерции и онлайнового предоставления банковских услуг. Шифрование и аутентификация применяются также для создания виртуальных частных сетей (Virtual Private Networks — VPN) на основе сетей общего пользования, для защиты коммуникаций между сайтами или удаленного доступа (клиент-сервер).

Сервисы pki

Ядроинфраструктуры открытых ключей образуют сервисы управления сертификатами и криптографические сервисы, в крупномасштабных PKI важная роль отводится вспомогательным сервисам.

Системы управления ключевыми носителями и цифровыми сертификатами

Все системы управления ключевыми носителями, представленные на рынке, позволяют выполнять ряд базовых операций, возникающих в течение жизненного цикла электронного средства аутентификации:

• Выпуск сертификата безопасности при помощи собственного или внешнего удостоверяющего центра.
• Привязка сертификата к физическому носителю — токену или смарт-карте. Ряд систем реализует управление виртуальными носителями. Это могут быть сертификаты безопасности в реестре ПК или специальные контейнеры (виртуальные смарт-карты и т. п.), которые можно передавать по сети или привязывать к USB-накопителям.
• Постоянная или временная блокировка ключевого носителя, перевыпуск ключа, создание его дубликата и другие текущие операции.

Большинство систем позволяет вести учёт ключевых носителей, а также ведение журнала действий с ними. К функциям этого блока относятся:

• Хранение информации о владельце ключа и привязка носителя к определённому рабочему месту.
• Операции перемещения носителя между подразделениями и филиалами компании.
• Формирование отчётов о действиях пользователей и администраторов, связанных с ключевыми носителями.

Некоторые решения предоставляют возможность передавать журналы работы с ключами в SIEM-продукты для дальнейшей обработки и анализа. Отечественные системы дополнительно реализуют функции поэкземплярного учёта СКЗИ и составления связанных с ними регламентных отчётов.

На рабочем месте пользователя обычно устанавливается клиентская часть системы управления ключевыми носителями. Она отвечает за проверку валидности ключа, а также за ряд операций с ним. Нередко такие агенты предоставляют администратору возможность удалённой блокировки токена или смарт-карты.

Ещё одной типовой функцией решений для управления ключевыми носителями является поддержка каталогов пользователей, однако подход к её реализации различается. Большинство продуктов взаимодействует с сервисами Active Directory, некоторые решения используют коннекторы к кадровым и CRM-системам, отдельные вендоры пошли по пути создания собственной службы каталогов.

Архитектура большинства систем управления ключевыми носителями включает следующие компоненты:

• Серверная часть, отвечающая за управление защищёнными носителями и связанными с ними политиками безопасности.
• База данных, где хранится информация о пользователях, смарт-картах и токенах, а также настройках системы.
• Панель управления, обеспечивающая административные функции — регистрацию и отзыв ключей, настройку политик безопасности и т. д.
• Клиентская часть, отвечающая за коммуникацию между ключевым носителем и сервером. В ряде систем такой агент предоставляет пользователю возможность самостоятельно управлять носителем.
• Плагины и коннекторы, осуществляющие связь системы с удостоверяющими центрами и внешними платформами.

Управление жизненным циклом сертификатов и ключей

Если секретный ключ пользователя потерян, похищен или скомпрометирован, либо существует вероятность наступления таких событий, действие сертификата должно быть прекращено. После получения подтверждения запроса пользователя об аннулировании сертификата УЦ уведомляет об аннулировании все заинтересованные стороны, используя список аннулированных сертификатов (САС).

УЦ заверяет цифровой подписью сертификат, связывающий открытый ключ с идентичностью пользователя. Однако события реального мира часто разрушают эту связь: идентификационные данные субъекта могут измениться, например, при заключении брака (девичья фамилия заменяется фамилией супруга) или при хищении его секретного ключа злоумышленником.

Пример 3.1. В качестве примера можно привести следующую аналогию аннулирования сертификатов. Водительские права — это один из видов сертификатов, который связывает идентичность (имя и фотографию) с номером водительских прав (то есть разрешением на вождение) и выдается доверенным центром (автоинспекцией).

Когда инспектор останавливает машину, то он не просто проверяет, на какой срок выданы права, но также может связаться с доверенным центром, чтобы выяснить, не были ли права аннулированы. Проверка на предмет аннулирования необходима, потому что иногда связь «идентичность-разрешение» в непросроченных правах не является надежной [10].

Механизм аннулирования сертификатов необходим во всех случаях, за исключением тех, когда используются сертификаты, имеющие короткий срок действия и эффективные только для однократного использования. Одноразовые сертификаты непрактичны во многих PKI-средах, поскольку создают огромную нагрузку на УЦ.

Аналогично аннулированию осуществляется приостановление действия сертификата. Оно заключается в однократной отмене сертификата на некоторое время в течение периода его действия. После этого действие сертификата возобновляется автоматически или же сертификат аннулируется.

Управление историями ключей

Концепция обновления ключей, ручного или автоматического, подразумевает, что в данный момент времени пользователь имеет много «старых» сертификатов и, по крайней мере, один «текущий» сертификат. Этот набор сертификатов и соответствующих секретных ключей обычно называют историей ключей пользователя, хотя более точно его называть историей ключей и сертификатов.

Сохранение этой полной истории ключей очень важно, потому что данные, зашифрованные самим пользователем или кем-нибудь для него в прошлом (например, 5 лет назад), не могут быть расшифрованы при помощи текущего секретного ключа пользователя. Заметим, что повторное шифрование всех данных пользователя при обновлении ключа обычно не практикуется.

Поэтому пользователю необходима поддержка его истории ключей, чтобы найти корректный ключ шифрования для извлечения необходимых данных,
зашифрованных в прошлом. То же самое справедливо и для сертификатов ключей подписи и старых документов, заверенных цифровой подписью данного пользователя.

Подобно обновлению ключей, управление историями ключей должно выполняться автоматически и полностью управляться PKI. Пользователи обычно не любят работать с системами, где надо самостоятельно выбирать подходящий ключ или, хуже того, искать его перебором всех секретных ключей по очереди до тех пор, пока расшифрованные данные не станут походить на искомое.

В ближайшем будущем пользователи будут иметь огромное количество пар ключей, которые должны будут поддерживаться как криптографические ключи, даже если никогда не будут использоваться. Ключи шифрования со временем требуют обновления, при этом должна поддерживаться история всех ключей, использованных ранее (например, для расшифрования информации многолетней давности или проверки цифровой подписи на старом договоре).

Процесс корректировки пар ключей должен быть «прозрачен» для пользователя. Это означает, что пользователи не должны заботиться об обновлении ключей или получать отказ в обслуживании из-за недействительности своих ключей. Для удовлетворения этого требования пары ключей пользователя должны автоматически обновляться до истечения срока их действия.

Хранение информации в архиве

Сервисы хранения информации в архиве предназначены для долговременного хранения и управления электронными документами и другой информацией.

Хранение сертификатов и сас в архиве

Выпускаемые сертификаты и списки аннулированных сертификатов хранятся в архиве длительное время, которое определяется правилами хранения документов, заверенных электронно-цифровой подписью (ЭЦП).

Шаблоны профилей

Для управления процессами жизненного цикла сертификатов и смарт-карт FIM CM использует Шаблоны профилей (Profile Templates). Profile Template определяет следующие параметры:

• Набор сертификатов, выдаваемых пользователям
• Пользователей, имеющих право запрашивать сертификаты
• Политики управления жизненным циклом сертификатов и смарт-карт
• Участников операций (workflow)

Выводы

Все решения для управления ключевыми носителями, доступные на отечественном рынке, предоставляют пользователям и администраторам полную поддержку жизненного цикла средств контроля доступа. Программные продукты обеспечивают учёт физических и виртуальных ключей, а также ведение журнала операций с ними.

• Indeed Certificate Manager: собственный контейнер виртуальных смарт-карт Indeed AirKey Enterprise, поддержка стандарта PCI DSS 3.2.
• Avanpost PKI: встроенная система управления бизнес-процессами в части работы с ключевыми носителями, поддержка «Системы межведомственного электронного взаимодействия» (СМЭВ 3).
• «Рутокен KeyBox»: передача части функций администратора сотрудникам службы поддержки, которые могут заменять и блокировать пользовательские ключи, выполнение действий с ключами и просмотр журнала событий в едином интерфейсе для администраторов и операторов «хелпдеска».
• JaCarta Management System: возможность учёта и управления жизненным циклом средств контроля отчуждения (переноса) информации со съёмных машинных носителей информации (защищённых USB-устройств), интегрированный сервер усиленной аутентификации в целевых системах (2ФА).

Компании «Аладдин Р.Д.», «Актив», HID Global выпускают собственные ключевые носители в различных форматах, однако все решения, представленные в обзоре, поддерживают широкий набор USB-токенов, смарт-карт и виртуальных контейнеров, используемых в российской практике.

В заключение следует отметить, что отечественные решения не выглядят слабыми в сравнении с разработками западных вендоров. Напротив, государственное регулирование этого сектора рынка дало стимул российским разработчикам, чьи продукты по ряду параметров уже превосходят зарубежные системы управления ключевыми носителями.