Криптопровайдеры входящие в стандартный состав Windows 2003 Server. КриптоПро CSP.

Криптопровайдеры входящие в стандартный состав Windows 2003 Server

· Microsoft Base/Strong/Enhanced Cryptographio Provider. Включает большой набор криптографических функций; может экспортироваться за пределы США. Расширяется, дополняется более длинными ключам и криптоалгоритмами в Strong и Enhanced редакциях.

· Microsoft AES Cryptographic Provider. MS Enhanced CP с поддержкой AES.

· Microsoft Base/Enhanced DSS and Diffie-Hellman Cryptographic Provider. Представляет функции хэширования, генерации и проверки ЭЦП с использованием SHA и DSS.

· Microsoft RSA/Schannel Signature Cryptographic Provider. Поддерживает хэширование и ЭЦП.

КриптоПро CSP

Криптопровайдер КриптоПро CSP предназначен для:

· авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ;

· обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;

· обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;

· контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;

· управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Состав:

· КриптоПро TLS;

· КриптоПро EAP-TLS;

· КриптоПро Winlogon;

· КриптоПро Revocation Provider.

Реализуемые алгоритмы

· Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ;

· Алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями ГОСТ;

· Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ.

Строение и возможности Crypto API. Cтандарт PKCS #7 (RFC 2315). Обзор объекта CAPICOM.

Crypto API

Круг задач, на решение которых ориентирован Crypto API:

· надежное сокрытие данных;

· возможность передачи сокрытых данных третьим лицам;

· надежная система проверки достоверности, пришедшей от третьих лиц информации;

· расшифровывание полученных конфиденциальных данных;

· работа с «идентификационными удостоверениями» третьих лиц;

· обеспечение работы с признанными криптографическими стандартами;

· возможность расширения и работы с пока еще неизвестными алгоритмами.

Реализация всех алгоритмов (шифрования, цифровой подписи и т.п.) полностью выведена из состава самого Crypto API и реализуется в отдельных, независимых динамических библиотеках – «криптопровайдерах». Сам же Crypto API просто предъявляет определенные требования к набору функций (интерфейсу) криптопровайдера и предоставляет конечному пользователю унифицированный интерфейс работы с CSP. Конечному пользователю для полноценного использования всех функций криптопровайдера достаточно знать его строковое имя и номер типа.

Весь интерфейс Crypto API делится на 5 функциональных групп:

1. Базовые криптографические функции:

a. функции шифрования/расшифровывания данных;

b. функции хеширования и получения цифровой подписи данных;

c. функции инициализации криптопровайдера и работы с полученным контекстом;

d. функции генерации ключей;

e. функции обмена ключами.

2. Функции кодирования/декодирования. Под кодированием в данном случае подразумевается получение на выходе информации, кодированной в формате ASN.1 (Abstract Syntax Notation One).

3. Функции работы с сертификатами.

4. Высокоуровневые функции обработки криптографических сообщений.

5. Низкоуровневые функции обработки криптографических сообщений.

PKCS #7

Стандарт PKCS #7 определяет синтаксис криптографических сообщений (CMS).

Подпись, описанная стандартом CMS, характеризуется следующими особенностями:

· Данные могут быть подписаны несколькими сторонами (множественная подпись). В таком случае в сообщении будут присутствовать несколько структур SignerInfo с информацией о подписывающих сторонах: значением подписи и необходимой для проверки ее подлинности информацией.

· Тип данных никак не регламентируется, лишь уточняется, что в качестве данных может быть сообщение формата CMS, то есть подписанное Алисой сообщение может быть целиком подписано Бобом.

· Подписывать можно не только данные, но и некоторые атрибуты сообщения – хеш сообщения (digest message), время подписи (signing time), значение другой подписи (countersignature).

· Открытый ключ подписывающей стороны может быть несертифицированным.

· Подпись может отсутствовать и вовсе.

CAPICOM

(ничего)

15. Внешнее устройство хранения ключевой информации eToken (линейка моделей, функциональная модель, составляющие безопасности eToken PRO, жизненный цикл eToken PRО, уровни доступа).

Линейка моделей

· eToken PRO, eToken ГОСТ и Safenet eToken 4100 — смарт-карты;

· eToken PRO, eToken ГОСТ, SafeNet Token 5100 и SafeNet eToken 5200 — USB-ключи, являющиеся полнофункциональными аналогами смарт-карт;

· eToken NG-FLASH, eToken NG-OTP, SafeNet eToken 3400 и SafeNet eToken 7300 — гибридные устройства;

· eToken PASS и SafeNet eToken 3500 — OTP-токены (аппаратные генераторы одноразовых паролей);

· eToken Virtual — программный эмулятор смарт-карты.

Остальное увы: -(

16. Public Key Infrastructure (PKI) (основные определения, цели применения, компоненты и их функции, пользователи PKI).

Инфраструктура открытых ключей — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей.

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

· закрытый ключ известен только его владельцу;

· удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;

· никто не доверяет друг другу, но все доверяют удостоверяющему центру;

· удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Фактически, PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой посредством удостоверяющего центра.

Компоненты:

· Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. УЦ является главным управляющим компонентом PKI. Основная работа удостоверяющего центра заключается в идентификации пользователей и их запросов на сертификаты, в выдаче пользователям сертификатов, в проверке подлиности сертификатов, в проверке по сертификату, не выдаёт ли пользователь сертификата себя за другого, в аннулировании или отзыве сертификатов, в ведении списка отозванных сертификатов.

· Сертификат открытого ключа (чаще всего просто сертификат) — это данные пользователя и его открытый ключ, скреплённые подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.

· Регистрационный центр (РЦ) — необязательный компонент системы, предназначенный для регистрации пользователей. Для этих целей РЦ обычно предоставляет веб-интерфейс. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного центра.

· Репозиторий — хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ № 63 «Об электронной подписи» он называется реестр сертификатов ключей подписей.

· Архив сертификатов — хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.

· Центр запросов — необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.

· Конечные пользователи — пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.

Архитектуры PKI:

В основном выделяют 5 видов архитектур PKI, это:

1. простая PKI (одиночный УЦ)

2. иерархическая PKI

3. сетевая PKI

4. кросс-сертифицированные корпоративные PKI

5. архитектура мостового УЦ

В основном PKI делятся на разные архитектуры по следующим признакам:

· количество УЦ (а также количество УЦ, которые доверяют друг-другу)

· сложность проверки пути сертификации

· последствия выдачи злоумышленника себя за УЦ

⇐ Предыдущая 1 2 3 4 5 678 Следующая ⇒