Поддержка физических хранилищ сертфикатов в ПСКЗИ ШИПКА

В настоящее время при работе в различных автоматизированных системах люди все чаще используют электронные цифровые сертификаты. Использование таких сертификатов позволяет пользователям обмениваться электронными сообщениями и быть уверенными в их подлинности и в безопасности передачи. Применение сертификатов становится обыденным и привычным для пользователей.

Организация работы с сертификатами в операционных системах семейства Microsoft Windows достаточно проста и понятна для пользователя. В простейшем случае процесс получения сертификата сводится к обращению к Центру Сертификации с помощью браузера и заполнению типовых форм. Полученный таким образом сертификат сохраняется в личном системном хранилище сертификатов (хранилище "MY") компьютера, на котором выполнялся запрос. При этом сам сертификат и закрытый ключ ключевой пары, связанный с этим сертификатом, по умолчанию хранятся в реестре этого компьютера. Пользователь может легко использовать полученный сертификат в любых требующих его наличие программах. Однако, для того чтобы использовать этот сертификат на другом компьютере пользователю необходимо экспортировать его в файл, скопировать полученный файл на какой-либо носитель информации, а затем уже импортировать сертификат из принесенного файла в личное системное хранилище сертификатов другого компьютера. Естественно, это доставляет пользователю неудобство при работе со своими сертификатами на различных компьютерах, а так же является небезопасным, если пользователю необходимо переносить закрытые ключи ключевых пар, связанные с этими сертификатами.

Для решения вышеописанной проблемы у компании Microsoft для операционных систем семейства Windows разработаны правила встраивания физического хранилища в системное логическое хранилище сертификатов. Физическое хранилище необходимо зарегистрировать в системе при помощи специальных системных функций, после чего доступ к нему будет осуществляться через заданное при регистрации системное логическое хранилище. Таким образом, в случае регистрации физического хранилища, связанного с логическим хранилищем "MY", все обращения к последнему будут транслироваться в связанное с ним физическое хранилище, и все сертификаты, хранящиеся в нем, становятся доступными через логическое хранилище "MY". Наличие физического хранилища предполагает, что сертификаты и связанные с ними ключевые пары хранятся не в реестре системы, а на каком-либо отчуждаемом носителе.

Специальное программное обеспечение ПСКЗИ ШИПКА, поставляемое в комплекте с устройством, содержит библиотеку поддержки физических хранилищ сертификатов. Регистрация физического хранилища сертификатов для ПСКЗИ ШИПКА происходит во время установки программного обеспечения для ПСКЗИ ШИПКА и не требует от пользователя никаких дополнительных действий. Для получения сертификата при помощи ПСКЗИ ШИПКА пользователь использует стандартную процедуру обращения к Центру Сертификации. При установке этого сертификата он сохраняется не в логическом хранилище сертификатов "MY", а в самом устройстве ШИПКА и работа с таким сертификатом осуществляется через физическое хранилище сертификатов для ПСКЗИ ШИПКА. После этого пользователь может работать с сертификатами, хранящимися в ПСКЗИ ШИПКА, во всех программах, требующих использование сертификатов точно также как, если бы он работал с сертификатами, хранящимися в системе локально. В случае отсоединения устройства ШИПКА от USB-порта сертификаты перестают быть доступными пользователю. Если же подключить устройство ШИПКА к USB-порту другого компьютера, на котором установлено программное обеспечение для ПСКЗИ ШИПКА, то пользователь автоматически получает доступ к хранящимся на нем сертификатам.

Главным достоинством использования физического хранилища для ПСКЗИ ШИПКА является то, что сертификат и связанная с ним ключевая пара могут легко переноситься пользователем с одного компьютера на другой и использоваться на нем. Нет необходимости проводить процедуру экспорта сертификата и связанной с ним ключевой пары на какой-либо носитель информации, а затем импортировать их на другой компьютер. Достаточно выписать сертификат на любом компьютере, где установлено программное обеспечение для ПСКЗИ ШИПКА, и этот сертификат вместе со связанной с ним ключевой парой будет сохранен в самом устройстве. А так как ШИПКА представляет собой мобильное устройство, то имеющиеся в нем сертификаты и ключевые пары легко могут быть перенесены и использованы на любом другом компьютере с установленным на нем программным обеспечением для ПСКЗИ ШИПКА.

Авторы: Каннер(Борисова) Т. М.; Счастный Д. Ю.

Дата публикации: 01.01.2007

Библиографическая ссылка: Каннер (Борисова) Т. М., Счастный Д. Ю. Поддержка физических хранилищ сертификатов в ПСКЗИ ШИПКА // Комплексная защита информации. Материалы XI Международной конференции. 20–23 марта 2007 года, Новополоцк. Мн., 2007. С. 62–63.

---