UniCERT

UniCERT

UniCERT это система PKI (Инфраструктура Открытых Ключей) для закрытых и открытых типов доверительных структур. Термин PKI можно расшифровать как совокупность аппаратного и программного обеспечения, людей и процедур, необходимых для управления, хранения, распределения и отзыва сертификатов, базирующаяся на криптографии с открытым ключом.

Система обеспечивает все функциональные возможности PKI, включая регистрацию, управление, работу с Центрами Сертификации (CA), которые проверяют и подтверждают подлинность и правомочность каждой стороны, вовлеченной в контакт через сеть.v В конце 70-х годов XX века была обоснована возможность создания электронной цифровой подписи (ЭЦП) и практически сразу появились алгоритмы, ее реализующие. Все, что происходило с тех пор до настоящего времени, можно считать периодом зарождения инфраструктуры с открытым ключом - Public Key Infrastructure, PKI.

В качестве стандарта, описывающего PKI-решения, выступает X.509, развивающийся с 1988 г. и регламентирующий формат цифровых сертификатов. Собственно, с сертификата и начинается универсализация, обеспечивающая единые механизмы защиты для решения различных задач, например:

• внутренний документооборот в корпоративной сети;

• электронная почта;

• доступ к сетевым устройствам;

• доступ к Web-узлам;

• организация VPN-соединений;

• авторизация на уровне операционных систем, СУБД и приложений.

Очевидно, что единое решение перечисленных задач существенно упрощает процедуру предоставления полномочий пользователям и сводится к операциям выдачи и отзыва сертификатов, число которых теоретически не имеет предела. Кроме удобства возникает еще один положительный эффект - каждый пользователь в этом случае получает по сути электронный паспорт, который можно применять в системах финансового, социального и прочего назначения. Достоинством системы UniCERT является модульная структура поддерживающая практически неограниченного числа пользователей - от нескольких десятков до нескольких миллионов, что позволяет применять это решение и в России. Среди тех, кто применяет систему UniCERT, можно назвать компанию Ericsson. Благодаря этому превращая телефоны в полноценный платежный терминал, с помощью которого пользователь может управлять своим банковским счетом дома, в дороге и т. д. Карточные системы VISA, MasterCard и Europay применяют систему UniCERT компании Baltimore для авторизации транзакций между банками и магазинами, являющимися клиентами этих платежных систем. Также клиентами Baltimore стали Citibank и Chase Manhattan Bank.

В качестве клиентского ПО для взаимодействия с UniCERT используется Windows. Это обстоятельство существенно облегчает применение сертифицированных российских решений и позволяет разворачивать PKI без излишних правовых проблем, которые возникают при использовании зарубежных продуктов.

Таким решением является криптопровайдер "КриптоПро CSP", разработанный одноименной российской компанией. Применяя криптопровайдер, пользователи Windows могут воспользоваться стандартными программными средствами фирмы Microsoft для реализации решений, основанных на инфраструктуре PKI (браузер Internet Explorer, почтовая программа MS Exchange и MS Outlook, Web-сервер Internet Information Server и т. д.).

Структура

Unicert PKI состоит из базового «Основного» модуля, который необходим для работы ядра системы. Улучшенный и расширенный модули представляют надстройку над ядром, предоставляющие дополнительные сервисы Инфраструктуры Открытых Ключей.

Core Technology - ядро технологии UniCERT. Модули, составляющие ядро, обеспечивают функционирование СА - Сервера Сертификатов. Ядро обеспечивает регистрацию пользователей в PKI, выпуск и управление сертификатами.

Основной модуль – содержит в себе базовые технологии для развертывания инфраструктуры открытых ключей. Certificate Authority (CA) – Удостоверяющий центр, обеспечивающий управление сертификатами открытых ключей на протяжении всего их жизненного цикла. Все доверительные отношения внутри PKI начинаются с электронно-цифровой подписи СА. Сервер Сертификатов функционирует в соответствии с гибкой политикой, которая устанавливается Оператором Сервера Сертификатов - Certificate Authority Operator (CAO).

Функции СА:

• СА принимает подтвержденные запросы на выдачу или аннулирование сертификатов от Центра Регистрации (RA) и Оператора Сервера Сертификатов (CAO), и возвращает сертификаты и подтверждения аннулирования.

• В соответствии с установленной политикой, СА выдает конечным пользователям личные ключи шифрования, которые сохраняются в Сервере Архивов Ключей (КAS).

• СА несет ответственность за ЭЦП внутри всей PKI и за подпись пользовательских сертификатов. СА также подписывает сертификаты подчиненных СА и других СА, в случае перекрестной сертификации.

• Certificate Revocation Lists (CRLs) - перечень отозванных сертификатов и Authority Revocation Lists (ARLs) - перечень аннулированных серверов сертификации - СА подписывает всю информацию об аннулированных сертификатах в форме CRL, CRLDP и ARL.

• Все сообщения, посылаемые СА, подписываются его ЭЦП.

• Все сообщения, получаемые СА, проверяются на целостность и подлинность отправителя;

• Все данные и журнал регистрации сохраняются в собственной базе данных СА. Каждая запись имеет свой номер.

• СА публикует сертификаты, CRL, ARL в LDAP, каталог стандарта X.500 и на диск;

• СА может отвечать за публикацию CRL и ARL на OCSP-серверах;

• СА генерирует пары ключей для себя и для главного САО;

• СА может проверять уникальность всех сертификатов и открытых ключей.

Особенности:

• Работает под управлением Solaris, HP, Windows 2000, NT;

• Многоязыковая поддержка;

• Поддержка аппаратных средств хранения ключей и сертификатов (smartcard, eToken);

• Поддержка LDAP и DAP;

• СА может пользоваться различными парами ключей для различных функций: подпись сертификатов, подпись CRL, шифрование данных, шифрование ключей;

• Изменение времени публикации CRL;

• Публикация CRL для OCSP-серверов;

• Поддержка различных алгоритмов шифрования, включая RSA, DSA, EC DSA.

Certificate Authority Operator (CAO) – АРМ Администратора Центра Сертификации, контролирующего все административные функции, как корневого, так и второстепенного СА. САО обеспечивает интерфейс между системой и администратором. Через САО оператор управляет политикой функционирования Сервера Сертификатов. Через САО также конфигурируются все остальные компоненты UniCERT. САО выдает сертификаты всем элементам UniCERT, определяет политики регистрации пользователей и отправляет эти политики в RAO. Для распределенного администрирования возможно применение нескольких САО с различными правами.

Функции САО:

• САО направляет утвержденные запросы на получение сертификата в СА. САО сохраняет запросы на удаление сертификатов в базе данных СА;

• САО отвечает за создание и поддержку политики выдачи сертификатов. СА также поддерживает политики функционирования СА и всех RA;

• САО выдает RAO политики выдачи сертификатов (через СА и RA);

• Некоторые сертификаты могут быть аннулированы САО;

• САО может добавлять новые модули в PKI и определять им привилегии;

• САО создает пары ключей для новых модулей;

• Все сообщения, посылаемые САО, подписываются его ЭЦП;

• Все сообщения, получаемые САО, проверяются на целостность и подлинность отправителя;

• Все данные и журнал регистрации сохраняются в базе данных СА. Все записи подписываются САО. Каждая запись имеет уникальный номер.

Особенности:

• Работает на Windows NT и Windows 2000;

• Многоязыковая поддержка;

• Графический интерфейс пользователя;

• Интерфейс для просмотра журналов регистрации и сертификатов;

• Выдача сертификатов и CRL;

• Поддержка использования аппаратных средств хранения сертификатов и ключей;

• Пользователь индивидуального САО может иметь ограниченные привилегии;

• Возможность подтверждения запроса на отзыв сертификата несколькими САО для удаления сертификата;

• Просмотр обрабатываемых запросов.

Registration Authority (RA) – Центр регистрации, обеспечивающий подтверждение подлинности идентификаторов пользователей RA - центральная точка пересылки информации между CA, RAO, ARM, MAIL/Web Gateway. RA принимает прямые запросы на получение сертификата от RAO (ARM) и удаленные запросы на получение сертификата от MAIL Gateway или Web Gateway. Затем Сервер Регистрации отправляет запросы на получение сертификатов Серверу Сертификатов. Для передачи сообщений между CA и RA используется протокол PKIX, гарантирующий целостность переданных сообщений. RA подчиняется центральной политике функционирования, устанавливаемой САО.

Функции RA:

• RA пересылает утвержденные запросы на получение и аннулирование сертификатов от RAO в СА. RA получает выданные сертификаты и подтверждения аннулирования сертификатов и делает их доступными для RAO.

• RA пересылает запросы на получение и аннулирование сертификатов от Gateway в RAO и посылает выданные сертификаты и информационные сообщения обратно в Gateway.

• RA отвечает за действительность сертификатов пользователей в течение определенного времени;

• Все сообщения, посылаемые RA, подписываются ЭЦП;

• Все сообщения, получаемые RA, проверяются на целостность и подлинность отправителя;

• Все данные и журнал регистрации хранятся в базе данных RA. Все записи подписываются RA. Каждая запись имеет уникальный номер.

Особенности:

• Работает под управлением Windows NT и Windows 2000.

• Поддержка использования аппаратных средств хранения сертификатов и пользовательских ключей;

• RA может автоматически подтверждать запросы, приходящие от Gateway, без вмешательства RAO;

Registration Authority Operator (RAO) – АРМ Администратора Центра Регистрации, обеспечивающий утверждение и отклонение заявок на получение сертификата. RAO - интерфейс для принятия и обработки запросов на получение сертификата. Запросы на получение сертификата могут приниматься через Email, WWW, или напрямую от пользователя. Администратор Сервера Регистрации принимает запросы на получение сертификата и проверяет действительность представленной информации. Если информация действительна, она регистрируется в базе данных RA. Затем RA отсылает подтвержденный запрос в Сервер Сертификатов на подпись. Если данные, представленные в запросе признаны не удовлетворительными, запрос отвергается. В дальнейшем, отвергнутые запросы не обрабатываются. Если необходимо, RAO может генерировать пользовательские ключи. Каждый RAO имеет права регистрации в соответствии с политикой, определяемой САО.

Функции RAO:

• RAO получает запросы на получение сертификата от Gateway или напрямую от пользователя;

• RAO подтверждает или отвергает пользовательские запросы на получение сертификата;

• RAO может генерировать пользовательские ключи;

• RAO посылает подтвержденные запросы на получение и аннулирование сертификатов в RA;

• Все сообщения, посылаемые RAO, подписываются ЭЦП;

• Все сообщения, получаемые RAO, проверяются на целостность и подлинность отправителя;

• Все данные и журнал регистрации хранятся в базе данных RA. Все записи подписываются RAO. Каждая запись имеет уникальный номер.

Особенности:

• Работает под управлением Windows NT и Windows 2000.

• Многоязыковая поддержка;

• Графический интерфейс пользователя;

• Возможность просмотра журналов регистрации и сертификатов;

• Поддержка использования аппаратных средств хранения сертификатов и пользовательских ключей;

• Возможность использования нескольких распределенных RAO.

Gateway – сервис, обеспечивающий прием удаленно представленных запросов на получение сертификата (по электронной почте, для систем VPN или от web-браузеров) и распределение полученных сертификатов. Gateway содержит три отдельных части: Web Gateway, E-mail Gateway, VPN Gateway. Все три части могут находиться на одном компьютере и работать как один модуль. Основная функция Gateway - принимать удаленные запросы пользователей и возвращать сертификаты и информационные сообщения.

Функции Gateway:

• Gateway получает запросы на получение сертификатов от удаленных пользователей и отсылает запросы RA. Gateway принимает сертификаты от RA и пересылает их конечным пользователям;

• E-mail Gateway принимает запросы на получение сертификатов в соответствии со стандартом PKCS#10, присланные электронной почтой на порт POP3. Gateway отсылает обратно сертификаты в форме PKCS#7 и информационное сообщение по электронной почте;

• Web Gateway принимает запросы на получение сертификатов через HTTP сервис. Gateway записывает в файл выданный сертификат и отправляет по электронной почте на URL, где пользователь может получить сертификат.

• Web Gateway также принимает запросы на аннулирование сертификатов через HTTP сервис. Gateway также обеспечивает подтверждение подлинности или отвержение Web страниц.

• VPN Gateway принимает запросы на получение сертификатов через HTTP сервис и обслуживает информационные страницы. Gateway записывает в файл выданный сертификат и отправляет по электронной почте URL, где VPN клиент может получить сертификат.

• VPN Gateway принимает запросы на получение сертификатов в стандарте SCEP и отправляет сертификаты в том же стандарте. SCEP это стандарт используемый оборудованием и ПО Cisco.

Особеннсти:

• Работает под управлением Windows NT и Windows 2000.

• Многоязыковая поддержка;

• Многозадачное приложение;

• Графический интерфейс пользователя;

• Web Gateway принимает запросы на получение сертификатов от Netscape Communicator и MS Internet Explorer;

• VPN Gateway может возвращать сертификаты в форматах PEM, DER, PKCS#7.

Token Manager – сервис, обеспечивающий поддержку криптографических аппаратных устройств Token Manager обеспечивает следующие функции:

• Инициализация идентификаторов;

• Изменение Личных Идентификационных Номеров (PIN) в идентификаторах;

• Изменение программных приложений для работы с идентификаторами и т.д.

Advanced Technology - продвинутый уровень составляют модули, предназначенные для больших организаций и коммерческих Серверов Сертификатов. Добавляет необходимые модули для обеспечения безопасной работы и удаленного администрирования.

WebRAO – сервис, простого и безопасного подтверждение сертификатов с использованием стандартного web-браузера;

Функции WebRAO:

• WebRAO принимает удаленные запросы на получение сертификатов от RA и напрямую от пользователей;

• WebRAO утверждает или отбрасывает запросы на получение сертификатов;

• WebRAO Server может удалять или временно отстранять выпущенные им сертификаты;

• WebRAO может генерировать пользовательские ключи;

• WebRAO отправляет подтвержденные запросы на получение и удаление сертификатов в RA через WebRAO Server;

• Все сообщения, посылаемые WebRAO, подписываются ЭЦП;

• Все сообщения, получаемые WebRAO, проверяются на целостность и подлинность отправителя;

• Все сообщения, получаемые и отсылаемые WebRAO, шифруются по стандарту PKCS#7;

• Все данные и журнал регистрации сохраняются в базе данных RA. Все записи подписываются WebRAO. Каждая запись имеет уникальный номер.

Свойства:

• Работает на Netscape Communicator и Microsoft Internet Explorer.

• Простой пользовательский интерфейс;

• Возможность просмотра журнала регистрации и сертификатов.

WebRAO Server – Сервер, подключения операторов к удаленной службе регистрации через Internet.

Advanced Registration Module (ARM) – модуль, осуществляющий автоматический интегрированный выпуск большого количества сертификатов, обеспечивающий поддержку централизованных политик безопасности. ARM позволяет эффективно работать с большим количеством сертификатов и ключей. ARM предназначен для компаний - системных интеграторов, коммерческих СА.

Функции ARM:

• Использование существующих личных идентификационных номеров или паролей для автоматизации регистрации. Функция позволяет выдавать личные идентификационные номера и пароли для аутентификации ограниченному числу пользователей (например, служащим организации). Организация может получить идентификационные номера и получать сертификаты по этим номерам без прохождения стандартной процедуры регистрации. ARM предлагает большой набор функций для предоставления сертификатов сторонним организациям.

• Позволяет работать с аппаратными средствами аутентификации. Уникальность ARM - это возможность интегрироваться с системами, использующими Смарткарты. Это позволит использовать все возможности личной идентификации, а также хранить сертификаты и личные ключи на Смарткартах.

• Позволяет интегрироваться в корпоративные базы данных. ARM - гибкая система регистрации, позволяющая PKI интегрироваться в корпоративную базу данных. Это позволяет получать наиболее полную информацию о пользователях из разных источников. Это также позволяет при регистрации пользователей брать информацию из корпоративных баз данных.

Key Archive Server (KAS) – Сервер, выполняющий функции архивирования, хранению и восстановления личных ключей шифрования, уменьшает риски потери данных и затраты на их восстановление.

Функции KAS:

• KAS зашифровывает личные ключи шифрования по алгоритму 3-DES. Ключи для шифрования (DEK) создаются отдельно для каждого архивного ключа. Зашифрованные личные ключи хранятся в базе данных.

• KAS шифрует DEK, и результат сохраняется в базе данных KAS.

• Все сообщения, посылаемые KAS, подписываются ЭЦП;

• Все сообщения, получаемые KAS, проверяются на целостность и подлинность отправителя;

• Все данные и журнал регистрации сохраняются в базе данных KAS. Все записи подписываются KAS. Каждая запись имеет уникальный номер.

Свойства:

• Работает под управлением Windows NT.

• Графический интерфейс пользователя;

• Возможность просмотра журналов и базы ключей;

• Возможность восстановления личных ключей;

• Поддержка аппаратных носителей сертификатов.

Advanced Publishing Module (APM) – модуль, позволяющий использовать Active Directory для хранения сертификатов и списков отзыва сертификатов (CLR) АРМ реализует функции публикации сертификатов для больших организаций и коммерческих СА. АРМ обеспечивает работу с различными каталогами, включая Microsoft Active Directory. Каталоги используются для быстрого доступа к хранимым данным. В некоторых случаях они формируют основу IT инфраструктуры, как в Windows 2000. Каталог - это структурированная база данных, состоящая из записей об объектах (пользователях), и атрибутов этих объектах (адрес почты, телефон). Все атрибуты могут быть легко найдены по имени объекта. Каталоги часто играют большую роль в PKI для распределенного хранения сертификационной информации о больших группах пользователей. Посредством АРМ, сертификаты могут располагаться в индивидуальных каталогах организации, в соответствии со структурой и организационными требованиями предприятия.

Преимущества:

• Интеграция с MS Active Directory;

• Уменьшенные администраторские издержки;

• Позволяет различным СА публиковать сертификаты в различных разделах или каталогах;

• Возможность конфигурирования мест публикации сертификатов облегчает интеграцию с существующими приложениями;

• Позволяет PKI использовать существующие каталоги;

• Может поддерживаться существующая структура каталогов;

• Гибкость и контроль каталогов;

• Публикация сертификатов на АРМ, разгружается работа СА.

АРМ полнофункциональный модуль, который добавляется к новому или существующему UniCERT.

Функции АРМ:

• Публикует сертификаты и CRL в каталоги, использующие протокол LDAP v3.

• Поддерживает MS Active Directory;

• Публикует сертификаты, используя существующие возможности каталогов;

• Уведомляет пользователей при публикации сертификата;

• Возможность публикации сертификатов из различных СА в различные каталоги;

• Поддержка точки распределения CRL;

• Расширенные возможности восстановления;

Extended Technology - вносит в структуру PKI компоненты сопряжения с другими программными продуктами и решениями.

Attribute Certificate Server (ACS) – Сервер, обеспечивающий контроль доступа к ресурсам (их системе безопасности) на основе ролей, повышающий эффективность и гибкость PKI-решений. (Сервер сертификатов атрибутов).

Все больше организаций обращаются к PKI для защиты своих электронных данных. Сертификаты предлагают сильную пользовательскую аутентификацию, но они не обеспечивают поддержку пользовательских атрибутов. Изменение пользовательских ролей требует выпуска новых сертификатов, а это долгий и дорогой процесс. Существующая непродолжительное время информация, такая как пользовательские роли, может располагаться в отдельных сертификатах и быть легко обновлена. Эти сертификаты связаны с пользовательскими сертификатами (Х.509), и называются Сертификаты Атрибутов. ACS предназначен для выпуска и управления Сертификатами Атрибутов для любых стандартных PKI. ACS - добавляемый модуль, позволяющий использовать контроль доступа и авторизацию. Сертификаты атрибутов обеспечивают больше, чем просто возможность авторизации, например, Сертификаты Атрибутов могут контролировать доступ пользователей к сетевым ресурсам. Как и пользовательские атрибуты, сертификаты атрибутов имеют непродолжительное время существования. ACS уменьшает необходимость переиздания сертификатов. Пользовательские сертификаты выпускаются и управляются централизовано, а сертификаты атрибутов могут выдаваться и управляться в распределенном режиме, в соответствии со структурой центров доступа. Поддержка пользовательских атрибутов может передаваться отдельным администраторам.

Преимущества:

• Сертификаты атрибутов криптографически связаны с пользовательскими сертификатами, и не могут использоваться отдельно;

• Упрощенное управление сертификатов;

• Освобождение пользовательских сертификатов от атрибутов уменьшает потребность в переиздании пользовательских сертификатов и CRL;

• Использование мало живущих сертификатов атрибутов позволяет удалять эти сертификаты до того, как информация выйдет из времени, уменьшая потребность в перевыпуске;

• Децентрализация администрирования атрибутной информации. Атрибуты могут поддерживаться в локальных офисах, где больше знаний об атрибутах;

• Возможность расширить ваш PKI за рамки приложений на идентичности в сферу, где атрибуты важны - контроль доступа, основанный на ролях;

Свойства:

• Поддержка стандартных СА-решений, включая UniCERT;

• Возможность взаимодействия с ODBC базами данных;

• Легко встраиваются в новые и существующие приложения;

• Простой интерфейс для упрощения администрирования ACS;

Timestamp Server (TSS) – Сервер, обеспечивающий услуги по проверке существования документа в конкретный момент времени. (Сервер меток времени).

Возможность подтверждения даты и времени подписи контракта или перевода денег - важнейшая функция в электронной коммерции. Timestamp представляет собой подписанный ЭЦП файл, подтверждающий существование источника документа в определенный момент времени, например, в электронной сделке устанавливается точная дата и время. UniCERT Timestamp Server позволяет всем сторонам в электронной сделке юридически доверять времени и дате сделки, имея гарантии в виде цифровой подписи. UniCERT Timestamp Server принимает запросы через Internet и возвращает в ответ метку времени. Timestamp Server не требует специальных знаний о цифровой подписи или метке времени, все происходит автоматически. Преимущества:

Timestamp Server обладает следующими преимуществами для предоставления гарантий в электронном бизнесе.

• Полное доверие временным меткам, использующим PKI инфраструктуру;

• Минимизация возможных обманов и судебных тяжб, т.к. Timestamp Server гарантирует подлинность даты и времени электронной сделки;

• Простота использования;

• Мало ощутим на бюджете организации, имеет маленькую стоимость внедрения и сопровождения; Свойства Timestamp Server:

• Полная длина ключей;

• Поддержка стандарта Х.509;

• Различные временные сервисы могут работать на одной машине, использовать различные источники времени или быть настроенными на различные временные зоны;

• Информацию о времени можно получать как из системных часов, так и из доверенных источников;

• Взаимодействие с аппаратными средствами хранения сертификатов;

• Встраивается в другие пользовательские приложения;

• Поддерживает некоторые СА, включая UniCERT.

Timestamp Server обеспечивает высокий уровень безопасности и доверия, необходимый в электронной коммерции. Roaming позволяет пользователям подписывать транзакции почти из любого броузера, не используя аппаратные средства хранения сертификатов. Используя эту технологию, онлайновые приложения, требующие безопасность транзакций, могут легко быть расширены до больших, распределенных групп пользователей, независимо от места расположения, аппаратуры, ОС и приложений.

Roaming Server – Сервер, позволяющий пользователям подписывать транзакции, используя секретный ключ, без использования аппаратных средств.

Desktop Manager - клиент для управления сертификатами на рабочих станциях. DKM обеспечивает выполнение на рабочих станциях централизованной политики управления ключами и сертификатами. DKM самостоятельно выполняет ежедневные задачи по управлению безопасностью.

Функции DKM:

• Администратор создает центральную политику управления PKI, которая выполняется на рабочих станциях с помощью DKM;

• Политика распространяется в безопасном режиме, как XML документ;

• DKM обеспечивает выполнение задач управления ключами, таких как переиздание и обновление ключей, без участия пользователя;

• Ключи генерируются в соответствии с центральными правилами;

• Пользователь не должен управлять Сервером Сертификатов или каталогами;

• Поддержка Windows NT и 2000;

• Работает со стандартными PKI, включая UniCERT.

Управление сертификатами

Выпуск, отзыв и приостановление действия сертификатов UniCERT предоставляет следующие функции по выпуску, отзыву и приостановлению действия сертификатов: • Выпуск сертификатов выполняется оператором центра регистрации на основе политик, заданных оператором центра сертификации, после идентификации личности клиента; • Удаление или приостановление действия сертификатов выполняется оператором центра сертификации; • Выпуск сертификатов посредством Web, e-mail и VPN; • Отзыв сертификатов посредством Web и e-mail.

Публикация сертификатов

UniCERT поддерживает публикацию в Сервисы Каталогов и Active Diretory по протоколу LDAP, так же поддерживают DAP. Списки отзыва сертификатов В случае компрометации сертификата или криптографических ключей, сертификат должен быть немедленно отозван Центром Сертификации и внесен в список отзыва сертификатов, доступный для всех пользователей инфраструктуры открытых ключей. В расширениях сертификатов, так называемых Точках распространения Списков Отзыва Сертификатов (CDP), находится унифицированный указатель информационного ресурса (стандартизованная строка символов, указывающая местонахождение документа в сети Internet) с информацией о месте расположения списков отзыва. На основании этой информации клиент сможет получать актуальные Списки Отзыва Сертификатов. Поддерживаемый указатель информационного ресурса может быть ассоциирован с LDAP, HTTP, FTP или Х.500 ресурсом. Списки отзыва сертификатов публикуются вручную или периодически в файловую систему (HTTP и FTP), Active Directory или Сервис Директорий при помощи LDAP.

Управление Инфраструктурой Открытых Ключей

Средства управления PKI

• с помощью модулей CAO и RAO, каждый из которых предназначен для управления и мониторинга вышестоящего модуля, как CA и RA. (Присутствует уникальный редактор инфраструктуры Policy Editor.) • управление центром регистрации через Web при помощи дополнительного модуля WebRAO. Резервное хранение пар ключей Возможность восстановить зашифрованные данные естественная необходимость корпорации по обеспечению безопасности своих данных. • UniCERT PKI -Дополнительный модуль KAS, использующий Oracle, как базу данных

Управление Политиками

Хранение параметров и настроек PKI

При проектировании и построении Инфраструктуры Открытых Ключей следует принимать во внимание особенности реализации хранения параметров и настроек PKI, так же в соответствии с профилем защиты PKI необходимо предотвратить доступ неавторизированных пользователей к конфигурационной информации PKI. Всю необходимую для функционирования информацию UniCERT хранит в базе данных Oracle, используя при этом систему безопасности сервера базы данных.

Поддерживаемые Алгоритмы Шифрования

Симметричные

Поддерживает:

DES

3-DES

RC2

RC4

IDEA

Не поддерживает:

CAST

RC5

ГОСТ-28147-89

Ассиметричные

Поддерживает:

RSA

DSA

ECDSA

Не поддерживает:

ГОСТ-34.10-94

Хеширование

Поддерживает:

MD5

SHA-1

Не поддерживает:

ГОСТ-34.11-94

== Выводы исследований[5]: ==

Данный продукт рекомендуется для использования в секторах средних, малых компаний, ISP и web проектов в силу своей масштабируемости, модульности, поддержки гетерогенных сред, использования гибридной модели доверия, поддержки открытых стандартов. Из обнаруженных недостатков следует отметить слабую поддержку SSO, отсутствие поддержки Российских стандартов, отсутствие коробочных продуктов поддержки ERP и баз данных, что не позволяет позиционировать этот продукт для корпоративных клиентов, критичных к этим недостаткам.

Литература 1) http://www.pcweek.ru/themes/detail.php?ID=56953&phrase_id=66641 2) http://www.security.strongdisk.ru/i/16&all=1/ 3) http://www.iso27000.ru/chitalnyi-zai/kriptografiya/sravnitelnyi-analiz-korporativnyh-reshenii-pki 4) http://www.cnews.ru/reviews/free/oldcom/security/baltimore.shtml#1.1 5) http://www.compulink.ru/security/print.php?go=unicert

Связать^?