'

Практика использования электронной цифровой подписи.Основные принципы обеспечения информационной безопасности с использованием инфраструктуры открытых ключей. Архитектура удостоверяющего центра на базе Крипто-Про CSP. Использование ЭЦП для организации защищенного электронного документооборота.

Понравилась презентация – покажи это...





Слайд 0

Практика использования электронной цифровой подписи.Основные принципы обеспечения информационной безопасности с использованием инфраструктуры открытых ключей. Архитектура удостоверяющего центра на базе Крипто-Про CSP. Использование ЭЦП для организации защищенного электронного документооборота. Курепкин И.А., Южанин Н.С., Ротков Л.Ю., Соганов С.В


Слайд 1

Цели криптографической защиты Аутентификация пользователей Авторизация доступа к ресурсам Конфиденциальность информации Целостность информации Невозможность отказа от совершенных действий


Слайд 2

Классификация алгоритмов шифрования Симметричные (с секретным, единым ключом, одноключевые, single-key). Асимметричные (с открытым ключом, public-key)


Слайд 3

Процедура создания ЭЦП сообщения


Слайд 4

Сертификат открытого ключа RFC 2459, X.509 Certificate ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING } TBSCertificate ::= SEQUENCE { version [0] EXPLICIT Version DEFAULT v1, serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version shall be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL -- If present, version shall be v3 } Сертификат представляет собой документ, подтверждающий принадлежность открытого ключа и дополнительных атрибутов владельцу сертификата, выданный и заверенный Удостоверяющим Центром. Версия: 3 Имя Пользователя: C=RU, org=ACME, cn=UserName Имя Издателя: C=RU, org=ACME, cn=CA Номер Сертификата: #12345678 Алгоритм ЭЦП: GOST R 34.11-94/ R 34.10-94 (1.2.643.2.2.4) Открытый ключ пользователя Алгоритм ключа: GOST R 34.10-94 (1.2.643.2.2.20) Значение ключа: 010011101001001010010101 Сертификат действует с: 01.01.2001 00:00:00 Сертификат действует до: 31.12.2006 23:59.59 Дополнительная информация (X.509 v3 Extensions) Регламент использования сертификата: Корпорация ACME Секретный ключ действует с: 31.12.1999 23:59.59 Секретный ключ действует до: 31.12.2000 23:59.59 Область применения ключа: Защита почты (1.3.6.1.5.5.7.3.4) Область применения ключа: Аутентификация клиента (1.3.6.1.5.5.7.3.2) Атрибуты пользователя: IP, DNS, URI, RFC822, Адрес,... . . . Подпись Центра Сертификации: Алгоритм: GOST R 34.11-94/ R 34.10-94 (1.2.643.2.2.4) Значение: 010011101001001010010101


Слайд 5

Инфраструктура PKI Позволяет реализовать: Защищенная электронная почта: Защита соединений в Интернете: Контроль ПО (Authenticode)


Слайд 6

Проверка сертификата ?


Слайд 7

Службы Структура удостоверяющего центра


Слайд 8

Службы сертификации Microsoft Центр сертификации (Certification Authority) Выдача сертификатов клиентам Генерация ключей, если нужно Отзыв сертификатов Публикация списка отзыва сертификатов (Certificate Revocation List) Хранение истории всех выданных сертификатов Web-сервис (Web Enrollment Support) Запрос и получение сертификата через Web-интерфейс Отсутствие реализации отечественных криптоалгоритмов Отсутствие аутентификации пользователя при доступе к центру сертификации Трудности масштабируемости


Слайд 9

СКЗИ CryptoPro CSP Позволяет использовать стандартные приложения фирмы Microsoft с надежной российской криптографией Позволяет создавать новые, надежно защищенные приложения с использованием инструментария разработки фирмы Microsoft


Слайд 10

Архитектура криптографических функций Windows Интерфейс CryptoAPI 2.0


Слайд 11

Цели интерфейса CryptoAPI Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные. Единый интерфейс доступа к криптографическим функциям генерации ключей, формирования/проверки электронной цифровой подписи, шифрования/расшифрования данных. Не требуется детального изучения особенностей реализации того или иного алгоритма или изменения кода в зависимости от алгоритма. 


Слайд 12

Интерфейс CryptoAPI 2.0 Низкоуровневые функции обработки криптографических сообщений Low Level Message Functions Базовые функции Base Cryptography Functions Функции кодирования декодирования CryptEncodeObject CryptDecodeObject Функции работы со справочниками сертификатов Certificate Store Высокоуровневые функции обработки криптографических сообщений Simplified Message Functions Cryptographic Service Providers


Слайд 13

Cryptographic Service Providers Crypto-Pro Cryptographic Service Provider Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider


Слайд 14

КриптоПро CSP Операционные системы: Windows 95, Windows 95 OSR2, Windows 98, Windows 98 SE, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Whistler (beta 2).


Слайд 15

Основные функции Генерация секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования; Возможность генерации ключей с различными параметрами в соответствии с ГОСТ Р 34.10-94 ("Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма."); Хэширование данных в соответствии с ГОСТ Р 34.11-94 ("Информационная технология. Криптографическая защита информации. Функция хэширования.");· Формирование электронной цифровой подписи в соответствии с ГОСТ Р 34.10-94 (ГОСТ Р 34.10-01); Шифрование данных во всех режимах, определенных ГОСТ 28147-89 ("Системы обработки информации. Защита криптографическая."); Имитозащита данных в соответствии с ГОСТ 28147-89; Использование пароля (пин-кода) для дополнительной защиты ключевой информации.


Слайд 16

Ключевые носители дискета 3,5"; российские интеллектуальные карты (РИК) и процессорные карты MPCOS-EMV; таблетки Touch-Memory DS1993 - DS1996 с использованием устройств Аккорд 4+, электронный замок "Соболь" или устройство чтения таблеток Touch-Memory DALLAS; реестр Windows; USB ключ eToken. Реализация СКЗИ КриптоПро CSP может функционировать в двух режимах: в памяти приложения. в Службе хранения ключей, которая реализована в виде системного сервиса Windows.


Слайд 17

Удостоверяющий Центр База - сервис сертификации Microsoft Основные функции: Регистрация пользователей Изготовление сертификатов открытых ключей Ведение реестра сертификатов открытых ключей Управление сертификатами открытых ключей Предоставление владельцам сертификатов функций генерации ключей и управления личными сертификатами Обеспечивает: Централизованное управление ключевой информацией Распределенное управление ключевой информацией Печать сертификатов на бумажных бланках


Слайд 18

Архитектура УЦ


Слайд 19

АРМ Администратора Основные функции: Регистрация пользователей Мониторинг информации, связанной с обращением сертификатов Выполнение регламентных процедур, связанных с отзывом сертификатов и публикацией списка отозванных сертификатов Аудит работы Центра Регистрации


Слайд 20

Регистрация пользователей


Слайд 21

Электронная почта MS Outlook (98, 2000, ХP) MS Outlook Express The BAT!


Слайд 22

Контроль ПО (Authenticode)


Слайд 23

Защита соединений в Интернете TLS 1.0


Слайд 24

Приложения CryptoAPI 2.0 КриптоПро CSP


Слайд 25

Интеграция российских алгоритмов


Слайд 26

Использование КриптоПРО CSP в Outlook Express


Слайд 27

Иерархия Удостоверяющих Центров НТЦ «Атлас» Корневой УЦ


Слайд 28

Получение служебного сертификата SOAP TLS 1.0 Программный интерфейс ( SOAP, TLS 1.0)


Слайд 29

Получение рабочего сертификата SOAP TLS 1.0 Программный интерфейс ( SOAP, TLS 1.0) HTTP/S TLS 1.0


Слайд 30

Конец презентации


×

HTML:





Ссылка: