Криптографическая защита данных с помощью программы <Шипка PKI>

Криптография все больше вторгается в жизнь и рабочий процесс обычных пользователей, которым теперь помимо грамотной работы на компьютере необходимо освоить еще и основы криптографии.

Криптографические методы защиты информации являются наиболее доступными и эффективными для обычного пользователя в плане обеспечения конфиденциальности данных и контроля их целостности. Как правило, на одном ПК работают несколько человек; у каждого есть документы, за которые он несет ответственность или просто не хочет показывать другим пользователям. Шифрование позволяет эффективно скрыть содержимое файла, даже если он доступен для просмотра остальным пользователям ПК. Электронная цифровая подпись обеспечивает контроль целостности и тем самым помогает отследить несанкционированное изменение содержимого файла.

Помимо этого, криптографические методы защиты позволяют скрыть от посторонних глаз сообщения, передаваемые по электронной почте. Даже в случае перехвата сообщений у любопытствующих не будет возможности ознакомиться с их содержанием.

Максимально облегчить выполнение криптографических операций можно с помощью цифровых сертификатов, использование которых лежит в основе PKI (Public Key Infrastructure - Инфраструктура открытых ключей). В этом случае для выполнения таких операций, как шифрование и подпись файлов, пользователю просто предлагается выбрать свой сертификат открытого ключа, а в случае отправки сообщения по электронной почте еще сертификат получателя сообщения.

Однако операционные системы не предоставляют пользователю наглядных и простых средств работы с собственными сертификатами и ключами.

В наиболее распространенных в настоящее время операционных системах семейства Windows для работы с криптографией создана целая система, включающая в себя хранилища сертификатов, хранение ключей в виде ключевых контейнеров и криптографические сервисы, или криптопровайдеры, через которые, собственно, и осуществляются все криптографические операции. Но штатных инструментов для работы с криптографией и цифровыми сертификатами, ориентированных на обычного пользователя, а не на специалиста в области информационных технологий, в них не предусмотрено.

Именно поэтому было принято решение расширить программное обеспечение ПСКЗИ ШИПКА утилитой под названием <ШИПКА PKI>, которая позволит пользователю управлять собственными сертификатами и защищать собственные данные на их основе. Программа предусматривает два режима работы:

1. Через Crypto API операционной системы Windows;

2. Через библиотеку, реализующую интерфейс Cryptoki в соответствии со стандартом PKCS #11.

В режиме Crypto API программа предоставляет пользователю следующие возможности:

1. Просмотр всех своих сертификатов и их параметров в одном окне не зависимо от места их хранения (для просмотра предоставляются сертификаты из личного хранилища пользователя (MY), хранилища доверенных корневых сертификатов, физического хранилища ПСКЗИ ШИПКА, а также сертификаты из файлов формата X.509 (*.cer), PKCS #7 (*.p7b), PKCS #12 (*.pfx));

2. Просмотр информации об установленных в системе криптопровайдерах (отображается версия криптопровайдера, список поддерживаемых криптографических алгоритмов и список ключевых контейнеров);

3. Удаление сертификата;

4. Сохранение сертификата в файл, что позволяет создавать резервные копии сертификатов, переносить сертификаты на другой ПК и пересылать сертификаты по электронной почте (поддерживаются форматы сохранения X.509 (*.cer), PKCS #7 (*.p7b), PKCS #12 (*.pfx));

5. Генерация самоподписанных сертификатов избавляет пользователя от необходимости связываться с удостоверяющим центром для получения и работы с сертификатами;

6. Формирование запроса на сертификат дает возможность работать с удостоверяющим центром в различных режимах;

7. Импорт сертификата в ПСКЗИ ШИПКА позволяет сохранить в устройстве, как отдельный сертификат, так и сертификат вместе с его ключевой парой. Эта функция дает возможность безопасно переносить на другой ПК, например, самоподписанные сертификаты, хранить в устройстве ШИПКА сертификаты других пользователей для проверки их подписи или осуществления защищенного обмена данными;

8. Шифрование и подпись файлов предоставляет возможность обеспечить конфиденциальность и целостность данных, хранящихся локально на компьютере и передаваемых по сети.

В режиме работы программы через библиотеку PKCS #11 функциональность <ШИПКА PKI> несколько меняется. Поскольку интерфейс Cryptoki ориентирован на работу с конкретным криптографическим устройством, то для просмотра становятся доступными только сертификаты и ключи, хранящиеся непосредственно в ПСКЗИ ШИПКА. Что касается операций шифрования и вычисления цифровой подписи, то в этом отношении возможности программы не изменяются.

Программа <ШИПКА PKI> призвана в доступном виде предоставить пользователю информацию об элементах системы PKI и возможности управления ими. Для защиты данных на своем персональном компьютере пользователь может с помощью одной программы создать самоподписанный сертификат, установить его в систему, с его помощью выполнить операции шифрования и цифровой подписи файлов и при необходимости удалить, как сам сертификат, так и его ключевую пару.

Программа также позволяет шифровать и подписывать данные для отправки по электронной почте. Эта возможность реализована для защищенного обмена данными с помощью отчественной криптографии, так как почтовые клиенты в настоящее время не поддерживают в штатном режиме шифрование и цифровую подпись в соответствии с российскими криптографическими алгоритмами.

Таким образом, в виде программы <ШИПКА PKI> пользователь получит инструмент, с помощью которого можно централизованно управлять элементами системы PKI и осуществлять криптографическую защиту данных.

Авторы: Аршинова Н. А.; Счастный Д. Ю.

Дата публикации: 01.01.2008

Библиографическая ссылка: Аршинова Н. А., Счастный Д. Ю. Криптографическая защита данных с помощью программы «Шипка PKI» // Комплексная защита информации. Сборник материалов XII Международной конференции (13–16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 35–36.

---