КриптоПро Revocation Provider

⇐ ПредыдущаяСтр 8 из 8

По умолчанию, приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически. СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени.

Архитектура CryptoAPI предоставляет возможность подключения внешних модулей проверки статуса сертификата. Таковым и является продукт " КриптоПро Revocation Provider", который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows. При этом менять что-либо в самих приложениях не требуется. " КриптоПро Revocation Provider" вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом.

Рисунок 3. Схема встраивания КриптоПро Revocation Provider в ОС MS Windows

Характеристики:

· Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI.

· Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей.

· Автоматически проверяет статусы сертификатов OCSP-серверов.

· Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.

· Настраивается через групповые политики.

· Даёт возможность настройки доверия к конкретным OCSP-серверам.

· При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.

· Может осуществлять соединения по защищённому протоколу TLS (SSL).

20. КриптоПро TSP Server (основные определения, назначение, характеристики) и усовершенствованная подпись КриптоПро (схема и формат усовершенствованной подписи, архивное хранение, технологические процедуры создания и проверки усовершенствованной ЭЦП).

Использование ПАК " КриптоПро TSP" позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.

Функции штампа времени:

1. фиксация времени создания электронного документа;

2. фиксация времени формирования электронной цифровой подписи (электронной подписи) электронного документа;

3. фиксация времени выполнения какой-либо операции, связанной с обработкой электронного документа;

4. долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя.

Протокол TSP (Time-Stamp Protocol) является протоколом типа " запрос-ответ". Весь обмен заключается в двух сообщениях. Клиент инициирует взаимодействие, посылая серверу запрос на штамп времени, на что сервер возвращает ответ, содержащий выпущенный штамп или не содержащий его в случае ошибки.

Применение ЭЦП свидетельствует, что при использовании ЭЦП в юридически значимом электронном документообороте, в случае возникновения спора достаточно трудно, а подчас и невозможно, доказать подлинность ЭЦП и момент подписи (создания) ЭЦП. Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве письменного доказательства. Данные трудности порождаются рядом проблем, присущих " классической" ЭЦП, а именно:

· нет доказательства момента подписи;

· трудность доказывания статуса сертификата открытого ключа подписи на момент подписи (или действителен, или аннулирован, или приостановлен).

Формат усовершенствованной ЭЦП

Новый формат подписи решает проблемы классической ЭЦП и множество других потенциальных проблем, обеспечивая:

· доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент,

· отсутствие необходимости сетевых обращений при проверке подписи,

· архивное хранение электронных документов,

· простоту встраивания и отсутствие необходимости контроля встраивания.

Проверка подлинности ЭЦП без сетевых обращений

Вложение в реквизиты документа всех доказательств, необходимых для проверки подлинности ЭЦП, обеспечивает возможность оффлайн-проверки подлинности ЭЦП. Доступ к репозиторию сертификатов, службам OCSP и службам штампов времени необходим только в момент создания подписи.

Архивное хранение

Использование усовершенствованной подписи является необходимым условием архивного хранения электронных документов, удостоверенных ЭЦП.

В формате усовершенствованной подписи вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа. Для сохранения юридической значимости электронных документов при архивном хранении остаётся только обеспечить их целостность организационно-техническими мерами. В этом случае подлинность ЭЦП может быть подтверждена через сколь угодно долгое время, в том числе и после истечения срока действия сертификата ключа подписи.

21. ЭЦП на основе удостоверяющего центра КриптоПро (структура, состав и основные возможности УЦ КриптоПро, взаимодействие компонентов УЦ КриптоПро, режимы работы удостоверяющего центра).

(лабораторные)

⇐ Предыдущая 1 2 3 4 5 6 78