Архітектура

«Шифр-PKI» дозволяє створити інфраструктуру відкритих ключів, які включають наступні елементи:
  • головний центр сертифікації ключів (ГЦСК), який володіє самопідписаним (рутовим) сертифікатом та здійснює видачу цифрових сертифікатів для регіональних (підпорядкованих) центрів сертифікації;
  • регіональні центри сертифікації ключів (РЦСК), які володіють сертифікатом ГЦСК та здійснює видачу персональних сертифікатів користувачам регіону;
  • центри реєстрації (ЦР), здійснюють передачу запитів на сертифікацію в РЦСК та прийом сертифікатів для користувачів, територіально віддалених від місця розташування РЦСК;
  • засоби генерації користувацьких ключів та формування запитів на сертифікацію;
  • виконавчі програмні комплекси (бібліотеки), які виконують зашифрування та підпис даних, які можна використовувати у різних автоматизованих системах.
У залежності від потреб замовника на базі засобів системи «Шифр-PKI» можуть бути створені підсистеми управління ключами та сертифікатами різних конфігурацій:
  • трирівнева ієрархічна, яка включає головний та кілька регіональних (підпорядкований головному) центру сертифікації ключів, у кожному регіоні – кілька центрів реєстрації (підпорядкованих своєму регіональному центру);
  • дворівнева ієрархічна, яка включає один центр сертифікації ключів та кілька центрів реєстрації;
  • проста конфігурація, яка знайшла застосування в системах типу «Клієнт-банк», складається з одного центру сертифікації ключів.

architecture-cipher-pki-Arch-cipher-PKI_ua.png (38 KB)

Засоби системи «Шифр-PKI» умовно розділені на дві частини.
Перша частина – базовий комплекс. У склад базового комплексу входять наступні елементи:
  • АРМ ГЦСК;
  • АРМ РЦСК;
  • Модуль генерації ключів;
  • Модуль криптографічних функцій;
  • Модуль інтерфейсу до електронної пошти.
Друга частина системи «Шифр-PKI» – засоби розширення функціональності наступного складу:
  • Модуль-агент регіонального центру сертифікації ключів (ЦР);
  • Модуль управління ключами клієнта;
  • Модуль-служба доступу до довідника сертифікатів;
  • Java-модуль криптографічних функцій для операційних середовищ, відмінних від Win32.
Генерацію криптографічних ключів користувачів та персоналу автоматизованих систем та комплексів здійснюють:
  • Модуль генерації ключів (для виконавців центрального офісу, філіалу, де встановлюється регіональний центр сертифікації ключів);
  • Модуль-агент регіонального центру сертифікації ключів (для територіально віддалених підрозділів, наприклад, ТВБВ банків);
  • Модуль зміни ключів (для територіально віддалених підрозділів, наприклад, ТВБВ банків);
  • Модуль управління ключами клієнта (для виконавців – посадових осіб віддаленого клієнта).
Генерація криптографічних ключів у системі «Шифр-PKI» здійснюється за принципом «сам для себе». Засоби генерації ключів дозволяють обрати носій (HDD, Flash, Touch Memory (iButton), смарт-карту) для збереження секретних ключів. Секретні ключі зберігаються на носії у зашифрованому вигляді. Відкриті ключі у вигляді запиту на сертифікацію передаються у центр сертифікації, де формується сертифікат відкритих ключів користувача.
Управління ключами та сертифікатами користувачів забезпечують:
  • АРМ головного центру сертифікації ключів (в центральному офісі);
  • АРМ регіонального центру сертифікації ключів (в центральному офісі чи філіалі);
  • Модуль-агент регіонального центру сертифікації ключів (в територіально віддалених підрозділах, наприклад, ТВБВ банків);
  • Модуль управління ключами клієнтів (у клієнтів банку);
  • Модуль інтерфейсу до електронної пошти;
  • Модуль-служба доступу до довідника сертифікатів.
Засоби управління ключами дозволяють:
  • Підтвердити достовірність та відправку запитів на сертифікацію;
  • Сформувати сертифікати відкритих ключів за отриманим запитом;
  • Здійснити адресну розсилку сертифікатів;
  • Вести контроль строків дії сертифікатів (введення в дію та виведення з дії сертифікатів у відповідності вказаного строку);
  • Відкликати сертифікати;
  • Формувати та розсилати списки відкликаних сертифікатів;
  • Припинити дію сертифікатів на основі даних списку відкликаних сертифікатів, виконувати широкий набір сервісних функцій (відображення таблиць сертифікатів, пошук сертифікатів за різними критеріями, перенесення виведених з дії сертифікатів в архів, та інше).
Отримання ключових та службових повідомлень в процесі управління сертифікатами забезпечує Модуль інтерфейсу до електронної пошти, який реалізує протоколиSMTP та POP3. Крім цього, даний модуль може використовуватися для розкладки ключових повідомлень за заданими каталогами, що дозволяє використовувати його при обміні файлами за протоколом FTP. Виконуючими пристроями системи «Шифр-PKI» є модуль криптографічних функцій (динамічні бібліотеки для Win32) та Java-модуль криптографічних функцій для операційних середовищ, відмінних від Win32. Модулі криптографічних функцій реалізовані у вигляді динамічних бібліотек (*.DLL для Win32) чи у вигляді Java-класів, які легко вбудовуються у програмні засоби автоматизованих систем та у процесі роботи забезпечують:
  • Введення секретного ключа, його розшифрування та збереження у пам’яті;
  • Зупинку роботи при невідповідності введеного секретного ключа, що зберігається у довіднику сертифікатів, чи, якщо використання заборонене;
  • Пошук у довіднику та вибір сертифікату, який вимагається для виконання криптоперетворень;
  • Перевірку автентичності чи повноважень обраного сертифікату;
  • Гешування даних;
  • Створення та перевірка електронного підпису;
  • Створення ключів зв’язку за протоколом Діффі-Хеллмана;
  • Генерація ключів шифрування даних;
  • Формування імітовставки та шифрування даних;
  • Розшифрування даних чи контроль їх цілісності шляхом перевірки імітовставки.