ГлавнаяАрхитектура

Архитектура

«Шифр-PKI» позволяет создать инфраструктуру открытых ключей, включающую следующие элементы:
  • главный центр сертификации ключей (ГЦСК), обладающий самоподписанным (рутовым) сертификатом и осуществляющий выдачу цифровых сертификатов для региональных (подчиненных) центров сертификации;
  • региональные центры сертификации ключей (РЦСК), обладающие сертификатом ГЦСК и осуществляющие выдачу персональных цифровых сертификатов пользователям регионов;
  • центры регистрации (ЦР), осуществляющие передачу запросов на сертификацию в РЦСК и прием сертификатов для пользователей, территориально удаленных от места расположения РЦСК;
  • средства генерации пользовательских ключей и формирования запросов на сертификацию;
  • исполнительные программные комплексы (библиотеки), выполняющие шифрование и цифровую подпись данных, которые можно использовать в различных автоматизированных системах.
В зависимости от потребностей заказчика на базе средств системы «Шифр-PKI» могут быть созданы подсистемы управления ключами и сертификатами различных конфигураций:
  • трехуровневая иерархическая, включающая главный и несколько региональных (подчиненных главному) центров сертификации ключей, в каждом регионе – несколько центров регистрации (подчиненных своему региональному центру);
  • двухуровневая иерархическая, включающая один центр сертификации ключей и несколько центров регистрации;
  • простая конфигурация, нашедшая широкое применение в системах типа «Клиент-банк», состоящая из одного центра сертификации ключей.

architecture-cipher-pki-Arch-cipher-PKI_ru.png (39 KB)

Средства системы «Шифр-PKI» условно разделены на две части.
Первая часть – базовый комплекс. В состав базового комплекса входят следующие элементы:
  • АРМ ГЦСК;
  • АРМ РЦСК;
  • Модуль генерации ключей;
  • Модуль криптографических функций;
  • Модуль интерфейса к электронной почте.
Вторая часть системы «Шифр-PKI» – средства расширения функциональности следующего состава:
  • Модуль-агент регионального центра сертификации ключей (ЦР);
  • Модуль управления ключами клиента;
  • Модуль-служба доступа к справочнику сертификатов;
  • Java-модуль криптографических функций для операционных сред, отличных от Win32.
Генерацию криптографических ключей пользователей и персонала автоматизированных систем и комплексов осуществляют:
  • Модуль генерации ключей (для исполнителей центрального офиса, филиала, где устанавливается региональный центр сертификации ключей);
  • Модуль-агент регионального центра сертификации ключей (для территориально отдаленных подразделений, например, ТОБО банков);
  • Модуль смены ключей (для территориально отдаленных подразделений, например, ТОБО банков);
  • Модуль управления ключами клиента (для исполнителей – должностных лиц отдаленного клиента).
Генерация криптографических ключей в системе «Шифр-PKI» выполняется по принципу «сам для себя». Средства генерации ключей позволяют выбрать носитель (HDD, Flash, Touch Memory (iButton), смарт-карта) для сохранения секретных ключей. Секретные ключи сохраняются на носителе в зашифрованном виде. Открытые ключи в виде запроса на сертификацию передаются в центр сертификации, где вырабатывается сертификат открытых ключей пользователя.
Управление ключами и сертификатами пользователей обеспечивают:
  • АРМ главного центра сертификации ключей (в центральном офисе);
  • АРМ регионального центра сертификации ключей (в центральном офисе и филиале);
  • Модуль-агент регионального центра сертификации ключей (в территориально отдаленных подразделениях, например, ТОБО банка);
  • Модуль управления ключами клиента (у клиентов банка);
  • Модуль интерфейса к электронной почте;
  • Модуль-служба доступа к справочнику сертификатов.
Средства управления ключами позволяют:
  • подтвердить достоверность и отправку запросов на сертификацию;
  • выработать сертификат открытых ключей по полученному запросу;
  • осуществить адресную рассылку сертификатов;
  • вести контроль сроков действия сертификатов (ввод в действие и вывод из действия сертификатов в соответствии с назначенным сроком);
  • отзывать сертификаты;
  • формировать и рассылать списки отозванных сертификатов;
  • прекращать действия сертификатов на основе данных списка отозванных сертификатов; выполнять широкий набор сервисных функций (отображение таблиц сертификатов, поиск сертификатов по различным критериям, перенос выведенных из действия сертификатов в архив, и др.).
Доставку ключевых и служебных сообщений в процессе управление сертификатами обеспечивает Модуль интерфейса к электронной почте, который реализует протоколы SMTP и POP3. Кроме этого, данный модуль может использоваться для раскладки ключевых сообщений по заданным каталогам, что позволяет использовать его при обмене файлами по протоколу FTP. Исполнительными устройствами системы «Шифр-PKI» являются Модуль криптографических функций (динамические библиотеки для Win32) и Java-модуль криптографических функций для операционных сред, отличных от Win32. Модули криптографических функций реализованы в виде динамических библиотек (*.dll для Win32) или в виде Java-классов, которые легко встраиваются в программные средства автоматизированных систем и в процессе работы обеспечивают:
  • ввод секретного ключа, его расшифрование и сохранение в памяти;
  • остановку работы при несоответствии введенного секретного ключа хранящемуся в справочнике сертификату, либо если использование этого сертификата запрещено;
  • поиск в справочнике и выбор сертификата, требуемого для выполнения криптопреобразований;
  • проверку аутентичности и полномочности выбранного сертификата;
  • хэширование данных;
  • создание и проверка электронной подписи;
  • выработку ключей связи по протоколу Диффи-Хеллмана;
  • генерацию ключей шифрования данных;
  • выработку имитовставки и шифрование данных;
  • расшифрование данных и контроль их целостности путем проверки имитовставки.