Лабораторная работа (Автосохраненный)

формирование пользовательских ключей защиты информации;

создание и управление сертификатами пользователей.

ViPNet Administrator УКЦ в сети ViPNet взаимодействует только с ViPNet Administrator ЦУС — получает информацию об узлах и пользователях сети и отправляет ключевую информацию для защиты данных. Поэтому по соображениям безопасности рекомендуется не включать компьютер с УКЦ в общую сеть ViPNet, а обеспечить связь только с компьютером ЦУС.

Прикладные задачи: УКЦ, Защита трафика.

Обязательный компонент сети ViPNet. Узел с ПО ViPNet Coordinator

(координатор) в зависимости от круга задач в корпоративной сети может

выполнять следующие функции:

Проксирование защищенного трафика (организация безопасной связи между защищенными сетями через публичные сети).

Фильтрация открытого и туннелируемого трафика (межсетевой экран).

Оповещение узлов о параметрах доступа друг к другу (сервер IP-адресов).

Организация защищенного взаимодействия с открытым ресурсом в локальной сети (туннелирование).

Выполнение функций почтовых серверов для Деловой почты и управления из ViPNet Administrator ЦУС.

Организация защищенного доступа в Интернет в полном соответствии с указом Президента РФ от 12 мая 2004 года N 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена».

Набор прикладных задач, которые задаются для координатора, может

быть различным в зависимости от его роли и выполняемых функций в

Узел с ПО ViPNet Client (клиент, или абонентский пункт) выполняет

фильтрация открытого трафика — персональный сетевой экран (компонент ViPNet Монитор);

шифрование сетевого трафика компьютера;

Для установки защищенного рабочего места Администратора сети VPN необходимы следующие составляющие:

ПО ViPNet[Администратор] версии;

ПО ViPNet[Клиент] версии;

набор лицензионных файлов ОАО «ИнфоТеКС»:

infotecs.re- лицензионный справочник;

infotecs.reg- файл лицензий на ПО и ПЗ;

русификатор - файл RK.com, который дает возможность использования русских букв в ЦУСе (в данном комплекте отсутствовал);

Для установки на локальном компьютере ПО ViPNetAdministratorнеобходимо запустить программуSetup.exe, после появления окна (Рис. 1.) следует прочесть информацию и нажать кнопку - Далее.

Рис.1. Мастер (Wizard) установки программы ViPNet Administrator

Ознакомимся с лицензионным соглашением и, в случае согласия, - нажимаем кнопку Далее. (Рис.2)

Рис.2. Лицензионное соглашение ПО ViPNet

В следующем окне необходимо ввести имя пользователя и название организации (рис.3)

Рис.3.Имя пользователя и название организации

Далее предлагается указать каталог установки рабочих файлов программы (по умолчанию программу предлагается установить в каталог C:\Program FilesMnfotecsWiPNet Administrator). В данном случае выбран более короткий путь в папку VA, которую предлагается создать, так как она не была создана. Это нужно в связи с тем что для поддержки кириллицы используется драйверRK.com(может быть заменен на аналогичный). В случае необходимости запуска драйвера, ЦУС должен быть доступен по короткому пути (8+3 символов в имени каталогов без пробелов). ЕслиWindowsне ведет на файловой системе короткую запись в дополнение к полной записи, по длинному пути ЦУС запускаться не будет. (Рис.4. и Рис.5.).

Рис.4. Каталог для установки ПО ViPNet

Далее выбираем тип установки (Рис.6)

Рис.6. Тип установки

При выборочной установке мы выбираем какие компоненты мы хотим установить, в данном случае мы выбираем оба компонента: Удостоверяющий и ключевой центр (УКЦ) и Центр управления сетью (ЦУС) (Рис.7). При необходимости эти два компонента можно установить на разные сетевые узлы в целях повышения безопасности.

Рис.7. Выбор установки компонентов ПО ViPNet[Administrator].

Далее настраиваем расположения ярлыков программ в меню Пуск и на Рабочем столе (Рис.8)

Рис.8. Меню и ярлыки

Проверяем настройки установки и если все верно нажимаем готово (Рис.9)

Рис.9.Завершение установки программ

Далее система предложит нам перезагрузку (Рис.10), пока она не обязательна, но когда мы будем устанавливать ПО ViPNet[Client] то перезагрузка будет обязательной для установкиViPNet- драйвера.

Рис.10. Перезагрузка системы

Для завершения шага инсталляции рабочего места Администратора защищенной сети необходимо скопировать файлы в указанные папки:

infotecs.reg, infotecs.re и RK.com (в данном комплекте файл RK.com отсутствовал) в каталог. \NCC\ (каталог установки ЦУСа);

infotecs.re - в каталог. \КС\ (каталог установки УКЦ).

Создание защищенной сети, установка режимов и параметров работы сети производится в Центре управления сетью (ЦУСе).

Запускаем ярлык ЦУСа, находящийся на Рабочем столе Windows, либо выбираем запуск программы ViPNet Центр управления сетью из стандартного меню ОС Windows-Start(Старт) -»Allprograms(Программы) —>ViPNet—>Administrator.

После запуска программа ЦУС предлагает создать несколько служебных каталогов и запрашивает место, в котором будет храниться информация транспортного каталога и каталогов обмена информацией с УКЦ (Рис.11). Рекомендуется оставить каталоги, предложенные программой по умолчанию.

Для своей работы ПО ViPNet использует следующие каталоги:

NCC- Network Control Center (рабочий каталог ViPNet Центра управления сетью);

КС - Key Center (рабочий каталог ViPNet Удостоверяющего и ключевого центра);

SS - Security Service (рабочий каталог ViPNet Client).

Рис.12. Настройка по умолчанию для каталогов хранения ключевой информации

Создаем каталог SS, так как он не был создан до этого (Рис.13).

Рис.13.Создание каталога SS.

Далее при выборе настроек по умолчанию параметров работы ЦУСа необходимо изменить позиции (поставить крестик напротив этой строки).

Автоматически связывать новый ТК со всеми другими ТК и указать

Максимальный уровень полномочий (Рис. 14).

Автоматически отправлять обновления ключей, справочников и экспорта

Рис.14. Настройки по умолчанию параметров работы ЦУСа

После нажатия кнопки принять - программа ЦУС приветствует администратора сети.(Рис.15) .Нажимаем любую клавишу и переходим в настройки Адресной администрации.

Рис.15. Приветствие администратора сети

Для начала работы по созданию виртуальной сети необходимо выбрать меню: Службы —> Адресная администрация —> Структура сети ViPNet. В данном случае программа сама автоматически перешла в настройку Структуры сети.

В Адресной администрации ЦУСа манипулятор «мышь» не работает. Следует использовать для входа в меню клавишу - Enter, а для выхода из меню - Esc.

Используя клавишу F1, открывается справка где можно найти комбинации клавиш для управления сетью ViPNet.

Для введения в виртуальную сеть серверов-маршрутизаторов (СМ) необходимо выделить строку Серверы-маршрутизаторы, нажать Enter и ввести имя нового сервера - СМ Координатор (Рис.16) и (Рис .17)

Рис.16. Основное окно Адресной администрации ЦУСа

Окно регистрации Серверов-маршрутизаторов должно выглядеть так, как на (Рис.17), а окно регистрации АП за СМ Координатор как на (Рис 18).

Рис.17. Создание Координаторов сети

Для добавления в виртуальную сеть Абонентских пунктов (АП) необходимо выделить строку с СМ (СМ Координатор), за которым будет зарегистрирован новый АП, нажать Enter и нажать комбинацию клавиш Alt+I. В предложенной строке следует ввести наименование нового АП (например, АП Администратор, АП Клиент 1, АП клиент 2).(Рис.18)

Рис.18. Регистрация АП за СМ Координатор

АП Администратор необходимо зарегистрировать в прикладных задачах (ПЗ) ЦУС и УКЦ (Рис.19). Для регистрации АП Администратор в задачах ЦУС и УКЦ следует выделить строку с записью и нажать кнопку Регистрация. В появившемся окне выделить «крестиком» строки ЦУС и УКЦ(Рис.19)

Рис.19. Регистрация АП в прикладных задачах

Серверы-маршрутизаторы виртуальной сети необходимо зарегистрировать в задаче Сервер IP-адресов и ее подзадачах. Для этого необходимо зайти в меню Службы —> Групповая регистрация СУ в ПЗ, выделить строку с записью Сервер IP-адресов и нажать кнопку Регистрация. (Рис.20)

В прикладной задаче Сервер IP-адресов для Координатора необходимо задать следующие параметры работы (изменение параметров производится посредством кнопок в правом столбце):

Для СМ Координатор включить функцию Туннелирование и задать необходимое количество туннельных соединений (в данном случае - 4) (Рис.21).

Рис.20. Групповая регистрация Сетевых узлов в Прикладных задачах

Рис.21. Включение функции туннелирования

В Прикладной администрации при регистрации типов коллективов (ТК) необходимо проверить их связи (в данном случае для простоты все ТК связаны между собой). При регистрации пользователей необходимо снять право владения ЭЦП у Координаторов сети.

По умолчанию имя ТК такое же как и у СУ (Рис.22)

Рис.22. Регистрация Типов коллективов

Далее, для различия СУ и ТК этих СУ необходимо переименовать записи в меню типов коллективов (с помощью кнопки справа Изм. имя). Например, APAdministratorв ТК Администратор. То же самое сделать для всех записей ТК всех СУ (Рис.23).

С помощью кнопки Область можно просмотреть, на каком сетевом узле зарегистрирован данный ТК (область действия данного ТК) (Рис.24). Так же, в случае чего, можно сменить область ТК или объединить АП в один ТК или присвоить одному АП несколько ТК.

Рис.24. Область действия ТК Administrator

Для формирования связей между ТК различных СУ сети ViPNet необходимо зайти в меню Прикладная администрация —> Регистрация типов коллективов. и проверить с помощью кнопки справа Связи, какие связи имеют каждый из ТК сети ViPNet.(Рис.25)

Рис.25. Связи ТК Administrator

После работы с ТК необходимо проверить параметры работы пользователей (абонентов). Для этого необходимо зайти в меню Прикладная администрация —> Регистрация пользователей. В этом окне следует отключить право иметь ЭЦП обоим СМ (Рис.27) и переименовать названия пользователей (с помощью кнопки справа Изм. имя), удалив приставки «AP» и «CM» (Рис.26).

Рис.26. Переименование АП

Рис.27. Отключение права иметь ЭЦП

С помощью кнопки справа Изм. ТК можно просмотреть для данного пользователя его ТК, а также если необходимо его изменить - добавлять, удалять, изменять (Рис.28).

Рис.28. Добавление пользователю нового ТК

По завершении формирования защищенной сети необходимо создать справочники, в которых отображается информация, необходимая для работы прикладных программ ViPNet (Монитор, Деловая Почта и др.). До формирования справочников необходимо произвести логическую проверку виртуальной сети ViPNet, для чего необходимо выбрать меню Службы —> Проверка конфигурации. В случае отсутствия логических ошибок в сети ViPNet (например, пользователь не зарегистрирован ни в одном типе коллектива) программа выдаст окно с записью «Аномальные ситуации не обнаружены».(Рис.29) Если же логические ошибки имеют место быть (аномальные ситуации), необходимо произвести оценку этих моментов и принять решение о том, нужно ли продолжать дальше работу с виртуальной сетью.

Рис.29. Результат проверки конфигурации

Если аномальные ситуации не проявились необходимо выбрать меню Службы —> Сформировать все справочники. В результате такой операции программа ЦУС сконфигурирует структуру защищенной сети, зафиксирует изменения, которые были введены в сеть и сформирует набор справочников (Рис.30) и (Рис.31). Изменения, произведенные в ЦУСе, будут переданы в УКЦ для формирования ключевой структуры сети ViPNet. В последующем окне можно будет увидеть, какие справочники и файлы были сформированы.

Рис.30. Формирование справочников

После формирования справочников необходимо создать базы данных, которые будут служить для восстановления информации на определенный момент времени (меню Службы —> Архив конфигурации сети—> Создать).

Структуру созданной виртуальной сети можно просмотреть в меню Службы —> Просмотр конфигурации —> Структура сети. В широком формате показана сеть в виде таблицы объектов, в узком - в виде иерархической структуры объектов сети.

Выход из ЦУСа производится с помощью меню Файлы —> Выйти либо комбинацией клавиш Alt+X

Рис.31.Архив конфигурации сети

Работа по созданию ключевой инфраструктуры виртуальной сети ViPNet производится в Удостоверяющем и ключевом центре (УКЦ).

Начало работы с УКЦ начинается с мастера установки (первичной инициализации) УКЦ (Рис.32).

Рис.32. Начало инициализации УКЦ

Мастер инициализации поэтапно предложит ввести параметры работы УКЦ и завершит первоначальную установку УКЦ развертыванием ключевой инфраструктуры защищенной сети. После этого необходимо будет лишь создать саму ключевую информацию, предназначенную пользователям, и передать эту информацию объектам защищенной сети.

Далее мастер предложит выбрать способ взаимодействия с базой данных, в которой будет храниться информация, необходимая для УКЦ

На выбор предлагается два вида СУБД - Microsoft Office Access и Microsoft SQL Server. При выборе одной из СУБД файлы, в которой УКЦ будет сохранять информацию, будут переведены в формат файлов СУБД. (Рис.33).

Рис.33. Выбор базы данных для УКЦ

Далее необходимо указать те каталоги, которые необходимы для работы УКЦ и взаимодействия его с ЦУСом (Рис.34).

Рис.34. Указание рабочих папок УКЦ

На следующем этапе следует указать то лицо (администратор сети ViPNet), которое будет обладать полномочиями заверять своей электронной цифровой подписью сертификаты ЭЦП остальных пользователей системы. Лицо, которое имеет право работать в УКЦ, называется уполномоченным. В дальнейшем можно будет поменять уполномоченное лицо либо добавить еще одно.

Рис.35. Назначение Администратора (Уполномоченного лица)

Далее необходимо ввести данные для сертификата ЭЦП этого лица - информацию о местоположении, адрес электронной почты (Рис.36),(Рис.37),(Рис.38),

Рис.36. Описание владельца сертификата

Рис.37. Описание владельца сертификата

Рис.38. Описание владельца сертификата

Далее нужно выбрать алгоритм формирования ключей ЭЦП (Рис.39).

Рис.39. Указание параметров ключа подписи

Далее выбираем срок действия сертификата(Рис.40).

Рис.40. Указание сроков действия сертификатов ЭЦП

После создания ключей ЭЦП и сертификата ЭЦП следует указать, в каком месте будет храниться контейнер ключа подписи (Рис.42)

Контейнер - это место на жестком диске (каталог) либо аппаратный носитель, в котором хранится личная ключевая информация (ключевая дискета) пользователя.

Рис.42. Указание типа места хранения ключей подписи и ключа защиты УКЦ

В случае выбора типа хранения в файле нужно указать путь к каталогу где будет хранится ключи подписи и ключи защиты УКЦ(Рис.43)

Рис.43. Указание папки для хранения ключей подписи и ключа защиты УКЦ

Далее указываем тип пароля для входа в УКЦ (Рис.44)

Рис.44. Указание типа пароля для входа в УКЦ

При выборе пункта собственного пароля, вводим собственный пароль(Рис.45).

Рис.45.Назанчаем собственный пароль

Проверяем, верно ли мы установили все настройки и нажимаем далее (Рис.46).

Рис.46.Настройки параметров на сертификат.

Следующим этапом станет создание набора Мастер-ключей (МК) (Рис.47). В ПО ViPNet используются несколько мастер-ключей для отдельного вида ключевой информации. Все типы МК защищаются шифрованием на ключе защиты УКЦ.

МК персональных ключей используется для создания персональных ключей пользователей (в т.ч. резервного набора персональных ключей).

МК ключей защиты используется формирования ключей шифрования защиты ключей обмена коллективов.

МК ключей обмена используется для формирования ключей шифрования обмена (связи) коллективов.

Ключи защиты - ключи, используемые для шифрования других ключей. Ключи защиты могут быть иерархической конструкцией, т.е. одни ключи защиты могут использоваться для защиты других ключей защиты.

Персональный ключ пользователя - это главный ключ защиты ключей, к которым имеет доступ пользователь. Этот ключ должен храниться в безопасном месте (например, на дискете или другом съемном носителе), так как компрометация этого ключа означает компрометацию всех других ключей пользователя. При компрометации этого ключа Ключевой центр изменяет вариант персонального ключа.

Под компрометацией ключей подразумевается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации (целостность, конфиденциальность, подтверждение авторства, невозможность отказа от авторства).

Пароли. В УКЦ существует три вида паролей:

пароль Администратора используется Администратором для входа в УКЦ. При желании Администратор может изменить этот пароль.

пароли для ключевых дисков используется для входа в прикладные программы в сети ViPNet.

пароли Администраторов групп сетевых узлов - такие пароли могут создаваться для каждого узла, а также для групп СУ, в том числе и для группы «Вся сеть», в которую входят все узлы сети. Эти пароли используются на сетевых узлах для входа в ПО ViPNet с правами Администратора и получения дополнительных возможностей и настроек в программе.

Рис.47. Формирование Мастер-ключей системы

Далее при генерации ключевой системы у нас работает электронная рулетка, что бы она сгенерировала ключи надо: подвигать мышкой, понажимать клавиатуру.(Рис.48),(Рис.49).

Рис.48.Электронная рулетка для генерации мастер ключей

Рис.49. Завершение инициализации УКЦ и формирование ключевой информации

Далее будет открыто окно программной оболочки УКЦ

Рис.50. Окно каталогов УКЦ

Перед началом работы в УКЦ рекомендуется произвести первоначальные настройки программы. Это можно сделать в меню Сервис —> Настройка. или нажав кнопку Настройка в панели инструментов программы. В окне Пароли можно настроить парольные параметры работы УКЦ. Выбираем Собственный пароль (Рис.51).

Рис.51. Парольные параметры работы УКЦ

После прохождения этапа первичной инициализации и произведения настроек программы необходимо сформировать дистрибутивы для пользователей созданной защищенной сети. Для этого следует выбрать пункт меню Сервис —> Автоматически создать —> Дистрибутивы ключей (Рис.52).или воспользоваться кнопкой (дистрибутивы ключей) на панели инструментов.

При создании дистрибутива пользователя автоматически формируется его сертификат ЭЦП. В случае, если срок действия сертификата уполномоченного лица истекает до конца действия рядового пользователя VPN сети, будет выведено предупреждение о том, что срок действия сертификата пользователя будет ограничен сроком действия сертификата уполномоченного лица.

Сертификаты пользователей сети ViPNet (как рядовых пользователей, так и Администраторов УКЦ (Уполномоченных лиц) можно посмотреть в каталоге Удостоверяющий центр. В этом каталоге также можно посмотреть пришедшие запросы на сертификаты, пришедшие запросы на отзыв сертификатов, а также информацию об отозванных сертификатах (справочник списка отозванных сертификатов (СОС)).

Рис.52.Меню формирования ключевой информации

Также желательно до формирования дистрибутивов ключей можно создать пароль администратора сетевого узла, для каждого сетевого узла на отдельном компьютере (в данном случае для сетевого узла Administrator(Рис.53)), так и на всю группу в которую входят несколько компьютеров.

Vipnet administrator центр управления сетью руководство администратора

ViPNet Administrator (Администратор) — это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя:

• ViPNet NCC (Центр Управления Сетью, ЦУС)
• ViPNet KC & CA (Удостоверяющий и Ключевой Центр, УКЦ)

ViPNet NCC (Центр Управления Сетью, ЦУС) — программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet, решающее следующие задачи:

• Формирование структуры защищенной сети, регистрация узлов, пользователей и допустимых связей между ними
• Назначение ролей и управление функционалом узлов защищенной сети
• Определение компонентов политик безопасности на каждом узле
• Обеспечение автоматической рассылки до узлов защищенной сети справочно-ключевой информации (справочников связей узлов, корневых и отозванных сертификатов, новых ключей шифрования, информации о связях с другими ViPNet-сетями и пр.)
• Проведение автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW
• Организация межсетевого взаимодействия для организации защищенных связей с объектами других ViPNet-сетей
• Управление лицензиями, включая иерархическое распределение лицензий поподчиненным сетям
• Определение и управление полномочиями пользователей по настройкам и управлению узлами защищенной сети

ViPNet KC & CA (Удостоверяющий и Ключевой Центр, УКЦ) — программное обеспечение, выполняющее функции центра выработки ключей для узлов и пользователей сетей ViPNet (Ключевого Центра), а также функции Удостоверяющего Центра для развертывания инфраструктуры PKI.

Основные функции Ключевого Центра

• Выработка и хранение первичной ключевой информации (мастер-ключи шифрования и межсетевые мастер-ключи)
• Выработка ключей шифрования для защиты коммуникаций узлов защищенной сети и ключей шифрования для управления коммуникациями пользователей защищенной сети (двухуровневая схема)
• Выполнение процедур смены ключей в соответствии с регламентами и в случае компрометации ключей
• Выработка персональных ключей защиты пользователей и криптографически надежных парольных фраз (паролей)
• Запись персональных ключей пользователей на аппаратные носители ключей — электронные идентификаторы (e-Token, JaCarta, Rutoken, Smartcard, touch memory)

Основные функции Удостоверяющего Центра

• Создание ключей подписи и издание сертификатов Доверенных лиц УЦ, формирование запроса на издание сертификата Доверенного лица к головному УЦ, в том числе в формате квалифицированных
• Импорт сертификатов Доверенных лиц УЦ смежных сетей и головного УЦ
• Рассмотрение запросов на издание сертификатов от пользователей, выпуск сертификатов ключей проверки ЭП, в т.ч. в формате квалифицированных
• Выполнение операций по отзыву, приостановлению и возобновлению сертификатов, рассылка соответствующих списков отзыва
• Ведение журналов работы и хранение списков изданных сертификатов
• Взаимодействие с внешними ключевыми носителями для формирования и хранения ключей подписи и сертификатов проверки подписи

Программное обеспечение, входящее в состав программного комплекса ViPNet Administrator, устанавливается на компьютеры вместе с программным обеспечением ViPNet Client. Требование использования ViPNet Client обусловлено целями сетевой защиты компонентов ViPNet Administrator и включения данных компонентов в защищенную сеть ViPNet.

Удостоверяющий Центр ViPNet

Удостоверяющий Центр ViPNet представляет собой программное обеспечение технологии ViPNet с криптографическим ядром "Домен-К", предназначенное для создания инфраструктуры электронной цифровой подписи в корпоративных вычислительных сетях коммерческих и государственных организаций, обеспечивающей выполнение требований Федерального закона "Об ЭЦП", высокий уровень безопасности ее функционирования и требований к составу и техническим характеристикам программно-аппаратного комплекса "Удостоверяющий центр".

В состав Удостоверяющего Центра ViPNet входит следующее программное обеспечение:

— ПО ViPNet [Центр управления сетью] - предназначено для регистрации пользователей и управления безопасностью созданной инфраструктуры ЭЦП;

— ПО ViPNet [Удостоверяющий и ключевой центр] - предназначено для выпуска цифровых сертификатов как собственных пользователей (сотрудников организации), так и внешних пользователей (физических и/или юридических лиц), которые должны иметь возможность использовать в отношениях с организацией ЭЦП (например, в системах "клиент-банк"). ПО ЦУС и УКЦ поставляется в составе инсталляционного комплекта ViPNet [Администратор];

— ПО ViPNet [Центр регистрации] - предназначено для регистрации внешних пользователей (физических и/или юридических лиц) и получения для них в УКЦ цифровых сертификатов;

— ПО ViPNet [Координатор] - предназначено для выполнения функций межсетевого экрана и сервера управляющих и почтовых сообщений, через который осуществляется взаимодействие с УКЦ;

— ПО ViPNet [КриптоСервис], предназначено для обеспечения необходимой функциональности работы с электронной цифровой подписью "Домен-К" (подпись, проверка подписи и т.д.), а также для автоматизированного защищенного обновления ключей, справочников и сертификатов электронной цифровой подписи.

В качестве дополнительного ПО может быть использовано:

— ПО ViPNet [Клиент] [Монитор] - VPN и персональный сетевой экран или ПО ViPNet [Персональный сетевой экран] предназначено для персональной сетевой защиты компьютеров и исключения доступа к ключевой информации;

— ПО ViPNet [Клиент] [Деловая почта] - Outlook-подобное приложение, обеспечивающее все задачи, необходимые для делового корпоративного общения, автопроцессинг файлов для автоматической подписи и доставки файлов, юридически значимые подтверждения о доставке и прочтении документов.

Данное программное обеспечение в защищенном варианте обеспечивает все необходимые механизмы использования ЭЦП с сертификатами X.509, предусмотренные Законом об ЭЦП и международными стандартами.

Алгоритмы для хэширования и подписи реализованы в соответствии со стандартами ГОСТ Р 34.10-94, Р 34.11-94, Р 34.10-2001. Алгоритм шифрования реализован в соответствии со стандартом 28147-89

ПО ViPNet [Удостоверяющий и ключевой центр]

Программу ViPNet [Удостоверяющий и Ключевой Центр] можно условно разделить на две программы: Ключевой центр и Удостоверяющий центр.

Удостоверяющий центр предназначен для обслуживания следующих запросов: на издание сертификатов ЭЦП, на отзыв, приостановление и возобновление приостановленного действия сертификатов абонентов, сформированных на сетевых узлах или в Центрах Регистрации для внешних пользователей.

Программное обеспечение УЦ обеспечивает следующую функциональность:

— Генерация секретных и открытых ключей Главных абонентов УЦ, сертификатами которых заверяются сертификаты пользователей. Сертификаты главных абонентов могут быть самоподписанными или заверенными вышестоящим УЦ.

— Первое издание сертификата подписи абонентов происходит в УЦ вместе с генерацией секретного ключа для него. Дальнейшее переиздание сертификата может происходить как в УЦ одновременно с формированием нового секретного ключа (для задач, требующих централизованной генерации и распределения ключей), так и по запросу пользователя корпоративной сети, сформированного на его сетевом узле.

— Издание и регистрация сертификатов ЭЦП по запросу абонентов сети. Запрос на сертификат представляет собой шаблон сертификата, содержащий информацию об абоненте, его новый открытый ключ подписи, предполагаемый срок действия сертификата, а также другие параметры, соответствующие стандарту X.509. Запрос может быть зарегистрирован или автоматически или в результате действий администратора УЦ. Запрос может быть отклонен. После заполнения полей сертификата сертификат через Центр управления отправляется к пользователю на компьютер.

— Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП абонентов сети. Эти действия выполняются администратором УЦ. Справочник отозванных сертификатов рассылается абонентам сети.

— Регистрация справочников сертификатов ЭЦП главных абонентов других УЦ ViPNet. После просмотра сертификатов главных абонентов других УЦ и принятия их производится подпись такого справочника своим главным абонентом (кросс сертификация). Заверенный справочник рассылается по сети в соответствии со связями своих абонентов, и используются при проверке сертификатов ЭЦП абонентов других УЦ, приславших подписанную информацию на какой-либо узел своей сети.

— Аналогичным образом выполняется импорт, кросс сертификация и рассылка сертификатов УЦ других производителей на основе сертифицированных СКЗИ "КриптоПро" и "Верба-О". Документы, подписанные с использованием указанных СКЗИ, будут проверены только при наличии на компьютере сертификата соответствующего УЦ, заверенного Главным абонентом своего УЦ. По соображениям безопасности УЦ ViPNet требует кросс сертификации даже для сертификатов других УЦ, в цепочке сертификатов которых содержится сертификат, которому доверяет УЦ ViPNet,

— Регистрация справочников отозванных сертификатов ЭЦП из других УЦ ViPNet. Такие справочники поступают из других сетей автоматически, заверяются главным абонентом и рассылаются по сети в соответствии со связями абонентов сети. Импорт справочников отозванных сертификатов из УЦ других производителей не производится. Доступ к ним осуществляется в процессе проверки подписи по пути, указанному в ЭЦП.

— Обслуживание запросов внешних пользователей. Внешний пользователь регистрируется на одном из пунктов регистрации Администратором программы ViPNet [Центр Регистрации]. Администратор ЦР создает запрос на сертификат ЭЦП для внешнего пользователя и отсылает его в УЦ для издания сертификата. Запрос на сертификат перед отправкой в УЦ подписывается ключом подписи этого Администратора. После введения в действие сертификата внешний пользователь сможет пользоваться им (подписывать документы) на любом узле сети с установленным ПО ViPNet. Администратор ЦР может создавать запросы на отзыв, приостановление действия, возобновление действия приостановленного сертификата ЭЦП внешних пользователей.

— Издание и регистрация сертификатов ЭЦП для внешних пользователей выполняется только по запросу из Центра регистрации. Запрос может быть зарегистрирован или отклонен. Вторичные запросы на сертификаты, если в них нет изменений, и выдача сертификатов могут обрабатываться и выдаваться автоматически. Сертификаты через ЦУС отправляется в УЦ.

— Отзыв сертификатов, приостановление действия сертификатов, возобновление действия сертификатов ЭЦП внешних пользователей может происходить по запросу из ЦР, или самим Администратором УЦ без запроса из ЦР. Справочники отозванных сертификатов рассылаются по узлам сети.

— Просмотр запросов и сертификатов ЭЦП. В программе УЦ возможен просмотр любых запросов, сертификатов, действующих списков отзыва, сохранение их в файл или вывод на печать.

— Сервисные функции УЦ.

УЦ информирует администратора об истечении сроков действия различных сертификатов за заданное число дней до этого срока путем формирования соответствующих списков.

Автоматически формирует архивы информации через заданные интервалы времени при наличии изменений, что обеспечивает возможность восстановления актуальной информации.

Обеспечивает различные режимы функционирования УЦ.

Ключевой центр (КЦ) обеспечивает защиту инфраструктуры ЭЦП посредством создания системы шифрования информации во всех процедурах управления инфраструктурой ЭЦП на основе симметричной схемы распределения ключей:

— Защита секретных ключей ЭЦП, распределяемых централизовано;

— Защита сертификатов главных абонентов сети;

— Защита транспортного уровня системы, обеспечивающего работу процедур запросов и получения сертификатов, доставки других файлов инфраструктуры ЭЦП;

— Генерация паролей для защиты секретных ключей от несанкционированного доступа. Тип пароля может быть - случайный (пароль будет создан случайным образом из различных слов, образующих случайную легко запоминаемую фразу), собственный (можно задать по желанию, но не менее 5 символов), случайный цифровой (сформируется случайным образом из различных цифр);

— Формирование других ключей, обеспечивающих обновление симметричной ключевой информации и работу другого ПО ViPNet.

Первоначальный набор симметричных ключей выдается пользователю в составе файла ключевого дистрибутива, зашифрованного на пароле, и который пользователь получает при его первичной регистрации. В состав ключевого дистрибутива входит персональный ключ связи с УКЦ, ключ связи со своим ViPNet-координатором, первичный секретный ключ подписи и сертификат, сертификаты главных абонентов УЦ. Другая ключевая информация поступает на компьютер после инсталляции ПО ViPNet[КриптоСервис] и в процессе обновлений.

ПО ViPNet [Центр управления сетью]

Программа Центра управления обеспечивает:

— Регистрацию узлов и абонентов корпоративной сети, регистрацию "Центров регистрации" внешних пользователей.

— Взаимодействие с УКЦ и пользователями при управлении сертификатами.

— Формирование защищенных справочников доступа для узлов сети и справочников связей узлов и абонентов для УКЦ при штатной эксплуатации и компрометации ключей абонентов.

Взаимодействие абонентов с УКЦ производится только через Центр управления. При этом обе программы могут устанавливаться на один компьютер. Однако для повышения уровня безопасности функционирования УКЦ предусмотрена возможность установки УКЦ и Центра управления на разных компьютерах.

Программа Центр Регистрации предназначена для регистрации внешних пользователей и получения для них в УКЦ цифровых сертификатов. Право работать в данной программе определяется программой Центра управления путем регистрации узла в задаче ЦР и формирования соответствующего справочника доступа. В системе может присутствовать произвольное количество ЦР.

В Центре Регистрации при предъявлении документов внешним пользователем, подтверждающих его полномочия, создается запрос на сертификат, производится отправка его в УКЦ и осуществляется ввод в действие изданного в УКЦ сертификата. В Центре Сертификации сертификат будет либо удовлетворен, либо отклонен. Только запрос на сертификат со статусом "удовлетворен" становится сертификатом подписи, и этот сертификат может быть введен в действие. После введения в действие сертификата, внешний пользователь сможет пользоваться им (подписывать документы) на любом узле с установленным ПО ViPNet.

Программа выполняет следующие функции:

— Генерация секретного ключа подписи и сохранение его на персональном ключевом носителе внешнего пользователя.

— Ввод персональных данных для сертификата внешнего пользователя.

— Формирование запроса на сертификат.

— Подпись запроса на сертификат ключом действующего администратора ЦР.

— Отправка заверенного запроса в УКЦ (через ЦУС).

— Автоматический прием сертификатов из УКЦ.

— Просмотр запросов и принятых сертификатов.

— Ввод в действие сертификата (сохранение на персональном ключевом носителе внешнего пользователя).

— Формирование запроса на отзыв сертификата.

— Формирование запроса на приостановление сертификата.

— Формирование запроса на возобновление сертификата.

Кроме того, программа выполняет экспорт сертификатов в различных кодировках. Всю процедуру создания запроса на получение сертификата обеспечивает соответствующий мастер.

Секретный ключ внешнего пользователя и его сертификат заносятся на его персональный носитель. Это может быть дискета, E-Token, смарт-карта, Touch memory и другие.

Секретный ключ зашифровывается на пароле, вырабатываемом программой. Тип пароля может быть один из следующих:

— Случайная легко запоминаемая фраза,

— Собственный цифровой пароль,

— Случайный цифровой пароль.

ПО ViPNet [КриптоСервис]

Программа ViPNet [КриптоСервис] обеспечивает необходимую функциональность работы с электронной цифровой подписью (подпись, проверка подписи и т.д.), а также автоматизированное защищенное обновления ключей, справочников и сертификатов электронной цифровой подписи. При использовании в качестве клиентского программного обеспечения - ПО ViPNet [Клиент] [Монитор] или ПО ViPNet [Клиент] [Деловая почта] установка ПО ViPNet [КриптоСервис] не требуется, так как вся требуемая функциональность содержится в указанных программах.

ПО ViPNet [КриптоСервис] содержит набор функций работы с ЭЦП, необходимых для использования другими приложениями.

В качестве приложений, использующих функции ЭЦП, может использоваться "Деловая почта" системы ViPNet, программа Microsoft Outlook, различные WEB - приложения, а также любые другие программы, если в них встроен вызов криптографических функций СКЗИ "Домен-К".

Пользователь сети, используя меню программы, может в любое время создать для себя новый секретный ключ и отправить запрос в УКЦ для получения нового сертификата. Однако пользователь не может изменить поля в запросе, кроме полей сроков действия. Редактирование полей сертификата возможно только в УКЦ.

Пользователь может сменить пароль, защищающий секретные ключи. Задать тип и срок действия пароля. Назначить срок, за который программа должна сообщить ему о приближающемся сроке окончания действия его сертификата и предложить сформировать новый запрос.

ПО ViPNet [Координатор]

Это многофункциональный программный модуль, который обеспечивает следующую функциональность:

— межсетевое экранирование в соответствии с требованиями Гостехкомиссии по 3 классу. За Координатор устанавливается УКЦ и ЦУС;

— выполнение функций почтового сервера для обеспечения безопасного обмена сообщениями инфраструктуры ЭЦП, управляющими сообщениями системы защиты, а также почтовыми сообщениями приложений системы ViPNet;

функции NAT (Network address translation) для VPN-соединений из локальной в общественную сеть;

туннелирование и шифрование трафика компьютеров, установленных за ViPNet [Координатор] и взаимодействующих с компьютерами за другими ViPNet [Координаторами] или с установленным ПО ViPNet [Клиент].

Требуемый уровень безопасности (класс 1 В) обеспечивается использованием программного обеспечения технологии ViPNet, сертифицированного по указанному классу, а также по другим требованиям безопасности. К основным техническим мерам, которые гарантируют высокий уровень безопасности использования инфраструктуры ЭЦП, можно отнести следующие:

— Весь информационный обмен, связанный с обеспечением работы инфраструктуры ЭЦП, производится в зашифрованном виде, что исключает любые стратегии модификации, подмены, навязывания ложной информации, несанкционированного доступа к передаваемой информации.

— Весь служебный информационный обмен по ЭЦП обеспечивается специализированным защищенным транспортным модулем MFTP, входящим в состав сертифицированного продукта и использующим протокол сетевого уровня TCP по портам 5000, 5001, 5002, что позволяет путем настроек для пропуска этого протокола на межсетевых экранах исключить возможные сетевые атаки через стандартные протоколы.

— Программное обеспечение ViPNet на клиентских станциях обеспечивает криптографический контроль целостности справочников сертификатов Главных абонентов УКЦ, что гарантирует их защиту от подмены. Все другие справочники защищены от подмены криптографическими контрольными суммами и подписью УКЦ.

— УКЦ ViPNet производит кросс сертификацию сертификатов других удостоверяющих центров, что позволяет центральной администрации контролировать надежность других удостоверяющих центров. Подпись лица, которому сертификат выдан другим удостоверяющим центром, признается действительной, только в случае наличия на компьютере заверенного своим УКЦ сертификата этого другого удостоверяющего центра, выдавшего сертификат данному лицу.

— Межсетевой экран ViPNet [Координатор], защищающий УКЦ, совмещен с сервером транспортного модуля MFTP. Сетевые узлы имеют возможность взаимодействовать только с координатором и не имеют возможности прямого взаимодействия с УКЦ и Центром управления, что позволяет на межсетевом экране пресечь любые сетевые атаки даже со стороны зарегистрированных пользователей.

— Если на клиентские компьютеры возможны сетевые атаки, то для защиты криптографических модулей и ключей ЭЦП на них целесообразна установка модуля ViPNet [Клиент] или его составляющей ViPNet [Персональный сетевой экран], сертифицированной ФАПСИ для использования в органах государственной власти. Модуль ViPNet [Клиент] дополнительно к персональному сетевому экрану создает зашифрованный туннель до ViPNet [Координатора], блокируя при этом любой открытый трафик, что полностью исключает любые сетевые атаки на компьютер пользователя.

Центр управления и УКЦ ViPNet могут обеспечить автоматическое защищенное взаимодействие более чем с 65 000 сетевыми узлами. При этом в одном УКЦ может быть зарегистрировано более чем 65 000 абонентов сети для выдачи им сертификатов.