Доклады, выступления, видео и электронные публикации

Организация защищенного электронного документооборота с помощью программно-аппаратного комплекса PRIVACY для ПСКЗИ ШИПКА

Презентация: скачать.

Как известно, в мире существует два подхода к организации пространства открытых ключей (PKI): первый - иерархический, или <вертикальный> - это система Удостоверяющих центров, на которые возложены задачи проверки подлинности связи между открытым ключом субъекта и идентифицирующей его информации. Второй подход - <горизонтальный> - система поручителей или сеть <доверия>. В этом случае нет единого Центра, подписи которого необходимо доверять, в сети доверия поручителями выступают сами пользователи.

Использование Удостоверяющих центров в качестве поручителей в нашей стране является основным способом распределения открытых ключей. О преимуществах такого подхода сказано и написано многое. Реализация второго подхода известна российским пользователям на примере разработанного на западе программного обеспечения PGP. Такой подход к распределению открытых ключей может оказаться не менее удобным, чем использование удостоверяющих центров, например, в случае если в круг переписки входит небольшое число лиц, или если это люди из разных стран. Однако PGP поддерживает только зарубежную криптографию, а аналогичного продукта, который мог бы работать с отечественными алгоритмами криптографии, до сих пор не было.

В условиях, когда инфраструктура открытых ключей организована практически исключительно в идеологии УЦ, большинство приложений и систем работает с сертификатами УЦ - формата Х.509. Значит, необходимым требованием к продукту, в котором реализован принцип <сети доверия>, является поддержка работы с сертификатами этого формата. Только в этом случае он будет совместим с большинством применяемых для защиты ЭДО приложений.

В ОКБ САПР разработан именно такой продукт - он называется PRIVACY, и, в соответствии с неизменным принципом ОКБ САПР, является не программным продуктом, а программно-аппаратным комплексом. Аппаратной базой комплекса - ПСКЗИ ШИПКА - производятся все криптографические процедуры - от генерации ключей, до криптографических преобразований. Назначение PRIVACY - криптографическая защита данных, передаваемых по сети, и данных на жестком диске ПК.

Программно-аппаратный комплекс PRIVACY полностью совместим с приложениями, которые используют алгоритмы ассиметричной криптографии с поддержкой сертификатов выданных Удостоверяющим центром. Совместимость достигается за счет поддержки сертификатов формата X.509. С помощью PRIVACY можно импортировать в ПСКЗИ ШИПКА открытый ключ из сертификата X.509 и работать с ним средствами PRIVACY. Так же поддерживается функция экспорта открытого ключа в формате сертификата X.509.

Еще пара фактов, которые выгодно отличают PRIVACY от других похожих продуктов. Прежде всего, это поддержка как зарубежной, так и отечественной криптографии, что очень важно не только с точки зрения степени защиты, но и с точки зрения взаимодействия с другими приложениями.

И второе, не менее важное, - PRIVACY работает самостоятельно, то есть без встраивания дополнительных модулей в почтовые клиенты или клиенты для обмена мгновенными сообщениями, без несанкционированных изменений чужого кода, а используя только легальные механизмы. Более того, не требуется и дополнительной настройки почтовых клиентов или программ обмена сообщениями. Все правила обработки исходящих сообщений задаются с помощью интерфейса PRIVACY, разобраться с которым будет несложно даже неподготовленному пользователю.

Как уже было сказано, PRIVACY - это программно-аппаратный комплекс, и использование аппаратной базы также вносит особенности в данный продукт. ПСКЗИ ШИПКА генерирует и хранит в себе ключевую информацию, все вычисления, связанные с шифрованием и подписью производятся аппаратно внутри ПСКЗИ ШИПКА, что способствует дополнительной надежности, так как в этом случае секретная ключевая информация не покидает устройства. Работа с ней возможна только после правильного ввода PIN-кода. Обращение программ к ключам и криптографическим функциям осуществляется через стандарт криптографии с открытым ключом PKCS#11.

Кроме этого, все правила обработки исходящих сообщений также хранятся внутри ПСКЗИ ШИПКА и начинают применяться автоматически после включения защиты. Такой подход позволяет переносить все настройки вместе с устройством и применять их в разных системах, в которых используются одни и те же аккаунты или ICQ UIN.

Программно-аппаратный комплекс PRIVACY позволяет как защитить электронную переписку частных пользователей, так и построить надежно защищенную корпоративную систему ЭДО, предоставляя удобный интерфейс в сочетании с надежностью, обусловленной применением ПСКЗИ ШИПКА. Возможность взаимодействия с приложениями, работающими с ключами, выданными УЦ, позволяет значительно расширить круг предполагаемых абонентов и спектр решаемых задач.

Автор: Карелина А. В.

Дата публикации: 01.01.2008

Библиографическая ссылка: Карелина А. В. Организация защищенного электронного документооборота с помощью программно-аппаратного комплекса PRIVACY для ПСКЗИ ШИПКА // Доклад на Первом Черноморском Форуме Электронный документ, архивный документооборот (Ялта, 27–31 октября 2008 года.


Scientia potestas est
Кнопка связи