НОУ ИНТУИТ | Лекция | Классификация сертификатов и управление ими

«аладдин р.д.»

Компанией «Аладдин Р.Д.» на рынке представлена система управления ключевыми носителями и цифровыми сертификатами JaCarta Management System.  На момент написания статьи единственная система управления, включенная в реестр отечественного ПО и рекомендованная для внедрения в государственных и муниципальных учреждениях.

JaCarta Management System (JMS) — система управления, полноценно поддерживающая новое поколение средств аутентификации и электронной подписи JaCarta, а также смарт-карты и токены SafeNet eToken (в т. ч. модели ГОСТ). Система автоматизирует типовые операции при работе с токенами, позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении средств аутентификации и электронной подписи.

Возможности:

• автоматизация типовых операций управления жизненным циклом токенов (назначение, выпуск, предоставление/отзыв прав, временное отключение, разблокировка, замена);
• поддержка работы со следующими моделями токенов и смарт-карт: USB-токены и смарт-карты JaCarta (JaCarta PKI, PKI/Flash, ГОСТ, ГОСТ/Flash, JaCarta PKI/BIO (в версии JMS 1.1)), USB-токены и смарт-карты SafeNet eToken (eToken PRO, eToken PRO (Java), eToken NG-Flash (Java), eToken ГОСТ), а также ;
• централизованное управление политиками безопасности в отношении средств аутентификации и электронной подписи;
• поддерживаемые удостоверяющие центры: УЦ Microsoft CA, УЦ Microsoft CA с КриптоПро CSP, УЦ КриптоПро 1.5, УЦ КриптоПро 2.0 (в версии JMS 1.1), Валидата CSP (в версии JMS 2.0);
• управление пользователями и их ключевыми носителями;
• Self-service для делегирования части операций по управлению токеном пользователю (позволяет сотруднику компании совершать необходимые операции с токеном без обращения в службу Help Desk);
• синхронизация с внешними системами (например, отзыв/отключение ключевого носителя в случае удаления или блокировки пользователя во внешней системе);
• ведение журнала действий пользователя по использованию токенов и смарт-карт, а также журнала действий администраторов, выполняемых через консоль администратора;
• резервное копирование как выпущенных объектов (закрытых ключей, сертификатов), так и настроек системы в целом;
• пакетная регистрация токенов (возможность регистрации всех приобретенных токенов JaCarta за несколько минут);
• возможность автоматически включать в работу токены и смарт-карты, выпущенные ранее. При этом все ранее выпущенные объекты сохраняются на ключевом носителе;
• автоматическая синхронизация изменений, позволяющая применить все совершенные обновления к содержимому токенов без необходимости перевыпуска токенов пользователей вручную (за определенное время до истечения срока действия сертификата JMS автоматически запрашивает в УЦ новый сертификат и записывает его в память токена удаленно);
• учет средств криптографической защиты информации в соответствии с требованиями регуляторов;
• управление токенами внешних пользователей, позволяющее вести учет токенов и смарт-карт пользователей, работающих вне корпоративной сети — партнеров, заказчиков, удаленных сотрудников и т. д.;
• плавная миграция с SafeNet Authentication Manager (SAM) / Token Management System (TMS);
• имеет сертификат соответствия ФСТЭК России (сертификат ФСТЭК № 3355 от 02.03.2021 до 02.03.2021 по 4 уровню РД НДВ и ТУ).

Подробнее с продуктом JaCarta Management System можно ознакомиться здесь.

25 твитов об ssl-сертификатах

SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.

1. Что такое SSL?

SSL означает Secure Sockets Layer – это протокол, используемый для шифрования и аутентификации данных, передаваемых между приложениями, например, браузером и веб-сервером.

2. Как появился сертификат SSL?

SSL версии 1.0 был разработан Netscape в начале 1990-х. Но из-за недостатков безопасности так и не был опубликован. Первым общедоступным выпуском был SSL 2.0, вышедший в феврале 1995 года. Это была улучшенная версия, но лишь после полного изменения дизайна утвердилась версии 3.0.

3. В чем суть сертификатов?

SSL-протокол не позволяет злоумышленникам читать и изменять транзакции и сообщения между браузером и сервером, например, передачу данных кредитных карт, логинов и т.п. Это гарантирует, что все данные останутся конфиденциальными и защищенными.

4. Что такое TLS-сертификат?

TLS (Transport Layer Security) – преемник и улучшенная версия SSL, имеет более надежные алгоритмы шифрования, но несмотря на схожесть считается другим стандартом.

5. Какие же протоколы сейчас используются?

SSL, как ни странно сейчас не используются. Было 3 версии 1.0, 2.0 и 3.0 и на основе версии SSL 3.0 создали протокол TLS 1.0. Затем вышли версии TLS 1.1, 1.2 и 1.3, а применяются только две последние.

6. Какой принцип работы SSL-сертификата?

При подключении браузера к сайту происходит «SSL-рукопожатие» (создаются ключи “рукопожатия”), далее происходит обмен криптографическими данными и в конце формируются сессионные ключи, на основе которых происходит шифрование трафика.

7. Какие существуют сертификаты?

8. И для чего каждый из них?

9. Есть ли другие виды сертификатов?

Да, например, сертификат Multi-Domain SSL на несколько доменов – не требует покупки сертификатов на каждый домен и упрощает администрирование. Code Signing certificates предназначен для защиты вашего кода, контента и других файлов во время их передачи в онлайн режиме.

10. Какие данные в SSL-сертификате?

SSL-сертификат содержит информацию:

11. В чем различия между SSL и HTTPS?

SSL – протокол безопасности, используемый для установления защищенного соединения между веб-браузером и веб-сервером. HTTPS работает как подуровень между приложениями. HTTPS шифрует обычное HTTP-сообщение перед отправкой и расшифровывает его во время доставки.

12. Как узнать, использует ли сайт SSL/HTTPS?

Большинство браузеров помечают безопасные соединения, защищенные сертификатами SSL/TLS замком и/или сообщением.

13. Как браузер может понять, корректен ли сертификат? 

Про сертификаты:  Сертификаты НАКС - Св-08А | Завод ММК-Метиз

Операционная система компьютера хранит список корневых сертификатов, составляющих цепочку доверия. При открытии сайта браузер проверяет всю цепочку, вплоть до корневого. Если хоть один из сертификатов оказывается недействительным, то и вся цепочка также недействительна.

14. Почему SSL сертификаты такие дорогие?

SSL-сертификаты можно рассматривать как страховку, они дороги из-за прилагаемых к ним гарантиям. Если что-то пойдет не так, то поставщик сертификатов SSL выплатит конечному пользователю, пострадавшему от сбоя SSL страховую сумму.

15. Существуют ли бесплатные сертификаты и насколько они безопасны?

Бесплатные сертификаты существуют, выполняют ту же функцию, что и платные, но обычно имеют самый низкий уровень безопасности (DV), на него, вероятно, не будет гарантии, т.е. они безопасны но до некоторой степени. При угрозе посетители вашего сайта не смогут требовать гарантии.

16. Где купить?

Если ваш хост не предлагает бесплатные SSL-сертификаты или вам нужен другой тип сертификата, вы можете приобрести собственный сертификат в центре сертификации или у реселлера, имеющего скидки, что будет дешевле.

17. Что такое центр сертификации?

Центр сертификации (Certificate Authority, CA) – международная организация, которая выпускает и несет ответственность за SSL-сертификаты. CA проверяет домены и источники, подтверждающие подлинность организаций. Центрам сертификации доверяет 99% браузеров.

18. Каков процесс получения сертификата, после того как вы его оплатили?

Сначала вы генерируете CSR и секретный ключ. Затем отсылаете CSR в орган сертификации (CA) и получаете архив с текстовыми / бинарными файлами для разных типов веб-серверов. Затем устанавливаете его на хостинге или своем сервере.

19. Как воспользоваться SSL/TLS сертификатом?

20. Как проверить правильность настройки сертификата?

Один популярных способов: зайдите на сайт Qualys, введите имя сайта и нажмите кнопку “submit. Сервис осуществит проверку и выдаст оценку в баллах. Если сайт получил А или А , то сертификат работает корректно.

21. Связаны ли как-то SSL-сертификат и продвижение в сети (SEO)?

Если ваш сайт не защищен сертификатом SSL, то он получает от Google отметку «небезопасно». Кроме того, если вы хотите, чтобы контент и сайт занимали высокие позиции в результата выдачи, виртуальный замок вам всё же понадобится. Но основная цель всё же безопасность соединения.

22. Какой срок действия сертификата?

Коммерческий сертификат действует 1 год. Срок действия сертификатов неуклонно сокращался с 10 лет в 2021 году, далее до 3 лет в 2021 году, затем до двух лет в 2021 году и до года в настоящее время.  Бесплатные сертификаты действуют на 90 дней.

23. Почему SSL-сертификаты не делают вечными?

Изменяются стандарты безопасности, соответственно старые сертификаты должны обновляться. Помимо этого, устанавливаемый жизненный цикл сертификата уменьшает риски, связанные с возможными потерями закрытого ключа.

24. Защищает ли SSL данные сайта?

Сертификат SSL/TLS помогает защитить данные, передаваемые между посетителем и сайтом, и наоборот. Но это не означает, что информация на сервере полностью защищена – администратор должен сам решить, как ее сохранить, например, вероятно ему стоит зашифровать базу данных.

25. И всё-таки, зачем нужен SSL сертификат?

Любая информация, отправляемая через интернет, проходит через сетевое оборудование, серверы, компьютеры и прочие соединения, и если данные не зашифрованы, то это делает их уязвимыми для атак.

В заключение капля юмора. Так выглядит сайт с говорящим названием рубрики: “SSL сертификат купить дешево” – http://www.net.ru/ssl/ssl-sertifikat-kupit-deshevo

---

Материал подготовлен компанией ITSOFT. Размещение и аренда серверов и стоек в двух ЦОДах в Москве; colocation GPU-ферм и ASIC-майнеров, аренда GPU-серверов. Лицензии связи, SSL-сертификаты. Администрирование серверов и поддержка сайтов. UPTIME за последние годы составляет 100%.

Hid global

Компанией HID Global на рынке представлена система управления смарт-картами и смарт-токенами ActivID CMS.

ActivID CMS представляет собой комплексное, гибкое и высококонфигурируемое решение для управления выпуском и администрирования смарт-карт. Система управления картами ActivID позволяет предприятиям легко и безопасно управлять используемыми смарт-картами и USB-токенами.

Предприятия, использующие систему управления картами ActivID Credential Management System (CMS), имеют возможность безопасно включать сертификаты PKI и другие средства идентификации в различные устройства, в том числе смарт-карты, токены и мобильные телефоны.

Возможности:

• возможность выпуска и управления смарт-картами, используемыми для широкого спектра офисных приложений, обеспечения безопасности сети и для приложений, повышающих эффективность работы;
• возможность использования для организации контроля логического и физического доступа;
• управление устройствами аутентификации (смарт-картами, USB-смарт-токенами и т. д.), данными (статическими паролями, биометрическими и демографическими данными), программными компонентами (программами генерации одноразовых паролей и программами идентификации личности — Personal Identity Verification (PIV)) и цифровыми идентификаторами (в том числе сертификатами PKI);
• взаимодействие с широким спектром сред, включая операционные системы, каталоги, клиентские и серверные системы управления идентификаторами, центры сертификатов и системы контроля физического доступа;
• комплексная защищенная система аудиторского контроля, фиксирующая все события и отражающая их в отчетах;
• защищенный прозрачный метод передачи засекреченных данных, записанных на смарт-карты или USB-токены, подсоединенные к пользовательской рабочей станции;
• ролевая система управления через веб-портал по преднастроенным административным ролям с возможностью дальнейшего детального распределения полномочий;
• встроенный механизм интеграции с большим количеством систем смежной инфраструктуры (LDAP, CA и т. п.);
• интеграция с PKI-клиентом ActivID ActivClient для автоматизированного обслуживания смарт-карт на клиентских системах и станциях самообслуживания (киоски);
• поддержка стороннего клиентского ПО и смарт-карт через стандартный протокол PKCS#11 (например, SafeNet eToken, E-Smart);
• SDK для интеграции через API со сторонними системами управления учетными данными (IDM, СКУД) и кастомизации выпуска смарт-карт.

Подробнее с продуктом ActivID CMS можно ознакомиться здесь.

Indeed id

Компанией Indeed ID на рынке представлена система управления ключевыми носителями и цифровыми сертификатами пользователей Indeed Card Management.

Indeed Card Management обеспечивает решение задач, связанных с применением инфраструктуры открытых ключей в масштабах предприятия. В рамках представленной системы поддерживаются различные смарт-карты и удостоверяющие центры (в том числе поддерживающие ГОСТ-шифрование).

Возможности:

• управление жизненным циклом ключевых носителей;
• учет средств криптографической защиты информации;
• поддержка работы с ключевыми носителями разных типов и производителей: USB-ключи Rutoken компании «Актив», USB-ключи и смарт-карты eToken компании SafeNet, USB-ключи и смарт-карты JaCarta компании «Аладдин Р.Д.», USB-ключи и смарт-карты ESMART компании ISBC, USB-ключи AvestKey компании «Авест», смарт-карты ID Prime компании Gemalto. При этом все поддерживаемые носители можно использовать в рамках одной инфраструктуры;
• возможность использования уникальной виртуальной смарт-карты Indeed AirKey Enterprise, полностью эмулирующей поведение физической смарт-карты и исключающей затраты, связанные с приобретением, сопровождением и заменой пластиковых смарт-карт, считывателей, USB-токенов;
• централизованное управление цифровыми сертификатами на протяжении всего жизненного цикла;
• автоматизация процессов управления цифровыми сертификатами пользователей;
• поддержка работы с удостоверяющими центрами Microsoft CA, КриптоПро УЦ 1.5 и КриптоПро УЦ 2.0;
• аутентификация пользователей сервиса самообслуживания по секретным вопросам;
• резервное копирование ключевой информации (создание дубликатов утерянных или поврежденных ключевых носителей);
• ведение журналов событий и аудит действий администраторов и пользователей с ключевыми носителями;
• самостоятельное оперативное решение пользователями основных задач использования ключевых носителей (через сервис самообслуживания);
• возможность разблокировки ключевых носителей на стороне пользователя до входа в ОС;
• управление картами за пределами сети предприятия, которое пользователи могут выполнять самостоятельно (через удаленный сервис самообслуживания);
• ведение электронного журнала учета СКЗИ в соответствии с требованиями регуляторов;
• возможность печати на картах и выпуск сертификатов в пакетном режиме;
• построение отчетов о событиях системы;
• веб-интерфейс, который адаптируется к размеру экрана пользователя (удобно работать на персональном компьютере, планшете или смартфоне);
• интеграция с системами управления логическим доступом Indeed EA и Indeed ESSO, что позволяет синхронизировать жизненные циклы смарт-карт и учетных данных (в момент выпуска ключевого носителя администратор может сразу сконфигурировать SSO-профиль пользователя);
• наличие API для интеграции с внешними системами класса Identity Management и др.

Подробнее о продукте Indeed Card Management можно прочитать здесь (также с детальным описанием продукта можно ознакомиться в статье «Обзор Indeed Card Management»).

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами (pki)

Решения для управления ключевыми носителями весьма востребованы отечественными компаниями. Не в последнюю очередь спрос на такие системы обусловлен нормативными актами регулирующих органов, устанавливающими требования к цифровой подписи и особый порядок учёта криптографических ключей, ограничивающими возможности использования несертифицированных решений.

Базовые документы, регулирующие использование криптографических ключей российскими организациями:

• Федеральный закон от 6 апреля 2021 г. № 63-ФЗ «О цифровой подписи»,
• приказ ФАПСИ № 152 от 13 июня 2001 г.,
• приказ ФСБ России № 66 от 9 февраля 2005 г.,
• приказ ФСБ России № 378 от 10 июля 2021 г.,
• приказ председателя Гостехкомиссии России № 114 от 4 июня 1999 г.,
• приказ ФСТЭК России № 17  от 11 февраля 2021 г.,
• приказ ФСТЭК России № 21 от 18 февраля 2021 г.,
• приказ ФСТЭК России № 31 от 14 марта 2021 г.,
• приказ ФСТЭК России № 239 от 25 декабря 2021 г.

Кроме того, для поставки программных продуктов в государственные органы и муниципальные службы они должны быть сертифицированы ФСТЭК России и включены в реестр отечественного ПО.

Эти факторы существенно ограничивают деятельность зарубежных поставщиков на рынке систем управления ключевыми носителями, что привело к активному развитию решений российских разработчиков. «Большая четвёрка» отечественных вендоров в этом сегменте выглядит следующим образом:

Следует отметить, что компании «Аладдин Р.Д.» и «Актив» являются также поставщиками аппаратных решений для идентификации — токенов и смарт-карт JaCarta и «Рутокен» соответственно. Мы уже публиковали сравнение ключей различных производителей, представленных на отечественном рынке.

Западные вендоры не в состоянии конкурировать с российскими разработчиками на рынке госконтрактов, но, тем не менее, готовы поставлять свои продукты коммерческим компаниям. Особенно сильны их позиции в секторе автоматизации местных филиалов глобальных компаний. На отечественном рынке работают представительства HID Global и Gemalto (ныне вошедшей в состав Thales).

Отсутствие давления со стороны зарубежных поставщиков, уникальные требования российских регуляторов и высокая конкуренция на внутреннем рынке привели к активному развитию функциональных возможностей отечественных продуктов. Многие из таких систем, представленных в обзоре, не только не уступают западным аналогам, но и превосходят их.

Сертификаты систем

К сертификатам систем можно отнести, например, VPN-сертификаты, сертификаты устройств (в том числе и беспроводной связи) и SSL-сертификаты[105].

VPN-сертификаты (IPsec). Эти сертификаты генерируются на основе информации об устройстве (например, IP-адреса) и подписываются человеком от имени устройства (путем ручной или автоматизированной процедуры).

Сертификаты устройств. Эти сертификаты связаны с определенным устройством (например, кабельным модемом), генерируются и физически размещаются в некоторой постоянной памяти устройства.

Сертификаты устройствбеспроводной связи. Эти сертификаты предназначены для поддержки функциональности SSL-типа применительно к небольшим устройствам и процессорам.

В качестве примера можно привести краткосрочные сертификаты WTLS (Wireless Transport Layer Security). На базе основного SSL-сертификата программной системой промежуточного слоя выпускаются временные сертификаты для конечных устройств.

SSL-сертификаты. Эти сертификаты генерируются Web-сервером и используются для связывания адреса и программного обеспечения определенного Web-сервера.

Сертификаты не только обеспечивают SSL-туннель к обращающемуся с запросом браузеру клиента, но и позволяют определять, принадлежит ли данный унифицированный указатель ресурсов (URL) той организации, которая предъявляет этот URL хосту.

Управление жизненным циклом сертификатов и ключей. инфраструктуры открытых ключей

Выводы

Системы управления ключевыми носителями и цифровыми сертификатами — это решения для централизованного учета, управления и аудита ключевых носителей и цифровых сертификатов, которые позволяют автоматизировать большинство перечисленных операций и значительно снизить нагрузку на администраторов информационных систем, операторов удостоверяющих центров и других сотрудников компании (например, сотрудников Help Desk).

Широкое применение методов аутентификации на основе PKI, а также использование защищенных носителей ключевой информации способствуют появлению в инфраструктуре компаний таких решений, как системы управления ключевыми носителями и цифровыми сертификатами.

Из зарубежных производителей систем управления ключевыми носителями и цифровыми сертификатами на российском рынке активно присутствуют Gemalto (SafeNet) и HID Global. В рамках импортозамещения наблюдается рост популярности продуктов российских разработчиков — таких, как «Аванпост», «Аладдин Р.Д.», Indeed ID и «Актив»:

1. Avanpost PKI — предназначен для централизованного управления всеми элементами PKI из единого интерфейса. Сюда входит управление электронными сертификатами, ключевыми носителями, ведение поэкземплярного учета СКЗИ, автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение журналов событий.
2. JaCarta Management System (JMS) — система управления, полноценно поддерживающая новую линейку средств аутентификации и электронной подписи JaCarta, а также смарт-карты и токены SafeNet eToken (в т. ч. модели ГОСТ). Система автоматизирует типовые операции при работе с токенами, позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении средств аутентификации и ЭП. JMS дополнительно обеспечивает соблюдение требований российского законодательства в части учета СКЗИ.
3. Indeed Card Management — система, позволяющая выполнять учет и управление ключевыми носителями, сертификатами и СКЗИ, резервное копирование ключевой информации. Она автоматизирует работу с несколькими УЦ и предоставляет сервис самообслуживания пользователей и возможность использования виртуальной смарт-карты.
4. Рутокен KeyBox — средство администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств), ориентированное на использование в корпоративных сетях, построенных на технологиях Microsoft Windows. Рутокен KeyBox является системой, обеспечивающей связь между учетными записями пользователей, средствами аутентификации, приложениями и регламентами ИБ (корпоративной политикой безопасности).

Компании Gemalto (SafeNet), HID Global, «Аладдин Р.Д.» и «Актив», помимо систем управления ключевыми носителями и цифровыми сертификатами, также занимаются производством ключевых носителей (USB-токены и смарт-карты). Компании «Аванпост» и Indeed ID самостоятельно не производят ключевые носители, однако поддерживают распространенных в России моделей ключевых носителей токенов, смарт-карт и биометрических считывателей.