При работе с СКЗИ «Верба-OW» каждый пользователь, обладающий правом подписи, самостоятельно формирует личные закрытый и открытый ключи подписи. Открытые ключи подписи всех пользователей объединяются в справочники открытых ключей сети конфиденциальной связи.
Каждому пользователю, обладающему правом подписи, необходимо иметь:
· закрытый ключ подписи;
· справочник открытых ключей подписи пользователей сети.
Электронная цифровая подпись вырабатывается на основе электронного документа, требующего заверения, и закрытого ключа. Вначале производится «сжатие» документа с помощью функции хэширования (ГОСТ Р 34.11‑94 «ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. ФУНКЦИЯ ХЭШИРОВАНИЯ»). Однонаправленная хэш‑функция получает на входе исходное сообщение произвольной длины и преобразует его в хэш‑значение фиксированной длины (256 бит согласно ГОСТ Р 34.11‑94). Значение хэш‑функции сложным образом зависит от содержания документа, но не позволяет восстановить сам документ. Хэш‑функция чувствительна к всевозможным изменениям в тексте. Кроме того, для данной хэш-функции практически нельзя подобрать два исходных сообщения, которые могут иметь одно и то же хэш‑значение или, что то же самое, одну и ту же цифровую подпись. Далее, к полученному хэш‑значению применяется некоторое математическое преобразование, в результате которого и получается собственно цифровая подпись электронного документа.
При проверке подписи проверяющий должен располагать открытым ключом пользователя, поставившего подпись. Проверяющий должен быть полностью уверен в подлинности открытого ключа (а именно в том, что имеющийся у него открытый ключ соответствует открытому ключу конкретного пользователя). Процедура проверки подписи состоит из вычисления хэш‑значения документа и проверки некоторых соотношений, связывающих хэш‑значение документа, подпись под этим документом и открытый ключ подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае подпись под документом считается недействительной.
Для разрешения споров между отправителем и получателем информации, связанных с возможностью искажения пересылаемого документа или открытого ключа проверки подписи, достоверная копия этого ключа может выдаваться третьей стороне (арбитру) и применяться им при возникновении конфликта между отправителем и получателем.
Для контроля целостности и подлинности справочников открытых ключей используется процедура выработки имитовставки, определяемая ГОСТ 28147‑89.
2.4. Ключевая система.
2.4.1. Идентификация абонента в сети.
Каждая подсеть однозначно определяется внутри всей информационной сети номером SSSSSS, который может принимать значение от 000000 до 999999. Этот номер присваивается ключевому диску с исходной ключевой информацией и называется номером серии.
Абоненты внутри всей сети различаются по номерам вида XXXXSSSSSSYY, а внутри отдельной подсети — по номерам вида XXXXYY. Номера внутри отдельной подсети распределяются пользователем при создании носителей ключевой информации. Составляющая XXXX обозначает номер ключевого диска для шифрования и может принимать значение от 0000 до 9999. Ключевой диск для подписи создается с использованием ключевого диска для шифрования. На каждом ключевом диске для шифрования можно создавать от 0 до 99 ключевых дисков для подписи, которые идентифицируются по личному коду YY.
Таким образом, абоненты, обладающие правом шифровать документы, идентифицируются внутри отдельной подсети по номерам вида XXXX, где XXXX — номер ключевой дискеты; абоненты, обладающие правом подписи — по номерам вида XXXXYY, где XXXX — номер ключевой дискеты, YY — личный код.
2.5. Носители ключевой информации.
2.5.1. Типы ключевых носителей.
В АРМ "Верба-Клиент" используются следующие типы носителей ключевой информации:
· ключевой носитель для шифрования;
· ключевой носитель для подписи;
· совмещенный ключевой носитель (с ключами шифрования и подписи)
и их рабочие копии.
2.5.2. Создание носителей ключевой информации.
АРМ "Верба-Клиент" позволяет пользователю сгенерировать совмещенный ключевой носитель.
На ключевой носитель записываются закрытые ключи шифрования и ЭЦП. Если для генерации выбирается ключевой носитель “Дискета” или “USB Flash Drive”, то по умолчанию программа сохранит на нём в подкаталоге HD1 файлы открытых ключей шифрования и ЭЦП, а также файлы ключей, подготовленных для хранения ЖМД.
Закрытые ключи пользователя должны храниться в тайне.
2.5.3. Временное хранение закрытых ключей на жестком диске.
АРМ "Верба-Клиент" предусматривает возможность хранения закрытых ключей на жестком диске, что удобно при частом обращении к ключевой информации.
Закрытые и открытые ключи шифрования и подписи хранятся в защищенном виде. При хранении на ключевом ГМД ключи перешифровываются на так называемом главном ключе, при временном хранении на ЖМД — на главном ключе и на индивидуальных ключах шифрования закрытых ключей.
2.5.4. Типы ключей.
Определены следующие типы открытых ключей:
· действующий;
· скомпрометированный;
· резервный.
2.5.5. Смена ключей.
Смена ключей возможна в следующих ситуациях:
· плановая смена ключей;
· компрометация ключа;
· ввод в действие нового ключа;
· удаление ключа.
Плановую смену ключей рекомендуется производить не реже одного раза в год. При плановой смене ключей, при их компрометации и удалении абонента из сети конфиденциальной связи, все закрытые ключи (шифрования и подписи) должны быть уничтожены, а выведенные из действия открытые ключи должны храниться в течение определенного “центром” времени для разбора конфликтных ситуаций. После уничтожения ключевой информации (при компрометации ключа) вводятся в действие резервные ключи. Все изменения должны немедленно отражаться в справочниках ключей и немедленно рассылаться всем абонентам сети.
2.5.6. Уничтожение ключевой информации.
Для уничтожения ключевой информации предусмотрена специальная процедура форматирования ключевого носителя, которая надежно уничтожает с носителя всю ключевую информацию.
3. Состав ПО «Верба-Клиент»
ПО «Верба-Клиент» состоит из следующих основных модулей:
Имя модуля | Каталог | Описание |
FColseOW.exe | Каталог установки (выбирается при установке ПО) | Главный исполняемый модуль. |
FColseOW.ini | Каталог для установки | Конфигурационный файл. |
FColseW.hlp FColseW.cnt | Каталог для установки | Справочные файлы. |
Руководство оператора.doc | Каталог для установки | Руководство оператора. |
KeyCopy.exe | Каталог для установки | Утилита копирования/очистки ключевых носителей. |
HddKeys.exe | Каталог для установки | Утилита подготовки ключей для хранения на ЖМД. |
Uninst.exe | Каталог для установки | Модуль деинсталляции. |
GI.dll GI.dat | Каталог для установки | Вспомогательные модули. |
Head_s. crd Head_e. crd Foot. crd | Каталог для установки | Файлы заголовка и окончания регистрационной карточки открытого ключа. |
FCMOle.dll | Системный каталог Windows | Модуль контекстного меню (расширение проводника Windows). |
4. Назначение программы
Программный модуль fcolseOw. exe обеспечивает выполнение следующих функций:
· зашифрование/расшифрование информации на уровне файлов;
· зашифрование данных clipboard с записью в файл;
· подпись файла (ЭЦП добавляется в конец подписываемого файла);
· проверку ЭЦП файла;
· удаление подписи, добавленной в конец файла;
· вычисление хэш-значений файлов.
Программа fcolseOw. exe предоставляет возможность создания и корректировки справочников открытых ключей подписи и шифрования. Программа обеспечивает выполнение следующих функций при работе со справочниками открытых ключей:
· создание справочника;
· добавление открытого ключа в справочник;
· удаление открытого ключа из справочника (по идентификатору или порядковому номеру);
· получение списка открытых ключей в справочнике с указанным номером серии;
· проверка открытого ключа;
· проверка справочника открытых ключей;
· запись открытого ключа в файл;
· перевод резервного открытого ключа в действующий ключ;
· компрометация открытого ключа;
· получение бланка на открытый ключ.
5. Рекомендации по УСТАНОВКЕ
Аппаратура, на которой устанавливается АРМ "Верба-Клиент", должна пройти проверку на отсутствие аппаратных закладок.
Все программное обеспечение ПЭВМ, на которой будет устанавливаться АРМ "Верба-Клиент", должно быть лицензионно чистым, при этом не допускается наличие средств разработки и отладки программ.
Перед установкой АРМ "Верба-Клиент" необходимо проверить программное обеспечение ПЭВМ на отсутствие вирусов и программных закладок.
К эксплуатации АРМ "Верба-Клиент" допускаются лица, прошедшие прошедшие обучение работе с СКЗИ “Верба-OW” и изучившие эксплуатационную документацию на АРМ "Верба-Клиент".
Контроль легальности и целостности дистрибутива производите в соответствии с разделом 10 «Контроль целостности дистрибутива ПО СКЗИ» документа: «СКЗИ «Верба-ОW». Правила пользования. Руководство Администратора Безопасности» ЯЦИТ.00020
6. рекомендации по размещению технических средств
Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и гарантировать сохранность находящихся в этих помещениях конфиденциальных документов.
Входные двери режимных помещений должны быть оборудованы замками, гарантирующими надежное закрытие помещений в нерабочее время. Для контроля входа должны устанавливаться шифр-замки.
Окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией.
Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации должно соответствовать требованиям техники безопасности, санитарным нормам, а также требованиям пожарной безопасности.
В режимные помещения допускаются руководство учреждения, сотрудники отдела безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальной информации по утвержденному списку.
Допуск в помещения вспомогательного и обслуживающего персонала (уборщиц, электромонтеров, сантехников и т. д.) производится только в случае служебной необходимости в сопровождении ответственного за режим после принятых мер, исключающих визуальный просмотр конфиденциальных документов.
Каждый исполнитель работ обязан, как пользователь сети конфиденциальной связи, зарегистрироваться у администратора службы безопасности.
Внутренняя планировка и расположение рабочих мест в режимных помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений.
По окончании рабочего дня режимные помещения закрываются и опечатываются. Режимные помещения с опечатанными входными дверьми сдаются под охрану отделу безопасности или дежурному по предприятию (по установленному порядку) с указанием времени приема–сдачи с отметкой о включении и выключении охранной сигнализации в журнале учета.
Сдачу ключей и режимных помещений под охрану, также получение ключей и вскрытие режимных помещений производят сотрудники, работающие в этих помещениях, по утвержденному руководством учреждения списку с образцами подписей этих сотрудников, который находится у охраны или у дежурного по учреждению.
Перед вскрытием режимных помещений должна быть проверена целостность оттисков печатей и исправность замков. При обнаружении нарушения целостности оттисков печатей, повреждения замков или других признаков, указывающих на возможное проникновение в эти помещения посторонних лиц, помещение не вскрывается, а о случившемся немедленно ставится в известность руководство и отдел безопасности.
В случае утраты ключа от входной двери режимного помещения немедленно ставится в известность отдел безопасности учреждения.
На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие режимных помещений, очередность и порядок спасения конфиденциальных документов и дальнейшего их хранения.
7. ИНСТАЛЛЯЦИЯ
7.1. Установка АРМ "Верба-Клиент"
Для установки программы требуется наличие установленной СКЗИ Верба-OW версии 6.1 и выше.
Инсталляция программы производится с инсталляционных дискет или CD–ROM программой инсталлятором. В процессе инсталляции производится установка соответствующего программного обеспечения.
Перед запуском инсталлятора настоятельно рекомендуется закрыть все открытые приложения, а так же активные антивирусные программы.
Для запуска инсталлятора установите инсталляционную дискету номер 1 в дисковод или CD–ROM в считыватель и запустите программу:
setup. exe
При этом на экране появится информационное окно запуска инсталлятора.
При работе программы инсталлятора происходит копирование программных файлов с инсталляционной дискеты на жесткий диск и настройка всех необходимых параметров.
После завершения установки АРМ рекомендуется произвести перезагрузку системы.
7.1. Удаление АРМ "Верба-Клиент"
Удаление АРМ "Верба-Клиент" выполняется вызовом пункта “Деинсталляция” из программной группы АРМ "Верба-Клиент".
8. вызов программы
8.1. Идентификация пользователя и ключевого носителя
Программа может работать со всеми типами ключевых носителей поддерживаемыми СКЗИ “Верба-OW”:
· дискета, USB Flash Drive, и другие съемные устройства FAT12;
· смарт-карты (GSR-410, Towitoko);
· Touch Memory (Dallas, Accord);
· USB Keys (iKey1000 Rainbow, eToken).
Для работы с ключевым устройством:
· должны быть установлены драйверы производителя данного устройства;
· должна быть выбрана поддержка данного устройства при установке модулей поддержки СКЗИ.
Внимание. Для получения доступа к криптографическим функциям перед запуском программы пользователь должен установить рабочий ключевой носитель в считыватель.
Если к моменту запуска программы другим приложением в память будут прогружены ключи, то последует запрос на выгрузку данных ключей, при отрицательном ответе на данный запрос программа прекращает работу.
8.2. Окно загрузки ключей
При вызове программы, на экране появится окно загрузки ключей.
Для дальнейшей работы:
m выберите необходимое ключевое устройство;
m установите ключевой носитель в выбранное устройство;
m если устройство требует PIN-код или пароль, введите его в соответствующем поле;
m нажмите кнопку <Загрузить> для загрузки ключа в память.
Последнее выбранное ключевое устройство запоминается в файле настроек программы.
После успешной загрузки ключа на панели "Загруженный ключ" отображаются:
m идентификатор загруженного ключа;
m тип СКЗИ загруженного ключа;
m наличие возможности у загруженного ключа функций ЭЦП и шифрования.
Если ключ с выбранного Вами устройства был загружен успешно и имеет правильный тип СКЗИ (“Верба-OW”), то становится доступной кнопка <Далее>.
В противном случае убедитесь, что Вы вставили правильный ключевой носитель в устройство и повторите загрузку ключа.
Во время загрузки ключа, если ранее не был проинициализирован датчик случайных чисел СКЗИ, то будет выведено всплывающее окно для инициализации биологического ДСЧ.
В данном окне необходимо с помощью нажатия любых клавиш на клавиатуре и/или движения мышью проинициализировать ДСЧ. После успешной инициализации окно закроется автоматически.
Инициализация ДСЧ выполняется один раз, и следующий раз потребуется только после перезагрузки операционной системы.
Для продолжения работы нажмите кнопку <Далее>.
Если конфигурация для данного ключа уже была создана ранее, то появится главное окно программы, иначе последует запрос на запуск мастера настройки конфигурации для данного ключа.
8.3. Панель настроек
Кнопка <¯> предназначена для отображения/скрытия панели настроек
флажок “Грузить ключ без подтверждения”
Во время старта программа обращается к ключевому устройству, выбранному в предыдущей сессии работы с программой, и делает попытку загрузить с него ключ. Если ключ был загружен успешно, то окно загрузчика ключей автоматически закрывается. Функция так же доступна из главного меню в основном окне программы.
флажок “Завершать работу программы при извлечении носителя iKey USB”
Установите данный флаг, если вы работаете с ключевым устройством iKey и нуждаетесь в завершении работы программы при извлечении ключевого носителя.
кнопка <Уничтожить>
Уничтожение конфигурации для текущего загруженного ключа.
Конфигурационный файл определяет настройки программы под Ваши требования, такие как: установка каталогов закрытых ключей и справочников открытых ключей, каталогов для получения файлов после их обработки, типы работы с файлами, размеры и положение окон и. т.д.
Конфигурационный файл имеет следующее имя: "Настройка для ключа xxxx–xxxxxx. ini", где xxxx–xxxxxx номер и серия Вашего ключа.
Перед уничтожением следует подтверждающий запрос.
Кнопка недоступна, если конфигурационный файл настроек для данного ключа отсутствует.
кнопка <Сгенерировать новый ключ >
Предназначена для генерации закрытых и открытых ключей на выбранное ключевое утройство.
Генерация требует загрузки лицензионного ключевого носителя.
кнопка <Копирование/Очистка ключей>
Запуск утилиты, для копирования/очистки ключевых носителей.
Специальный мастер поможет Вам скопировать закрытые ключи с одного ключевого носителя на другой. Например, с дискеты на смарт-карту.
кнопка <Подготовка ключей для ЖМД>
Запуск утилиты для подготовки ключевого носителя-дискеты для хранения ключей на ЖМД.
Данная утилита выполняет еще одну функцию: переводит открытые ключи на дискете из резервного статуса в действующий.
8.4. Ошибки при загрузке программы
Если запускается вторая копия программы, то выдаётся сообщение:
и программа завершается.
Если к моменту запуска программы не установлено СКЗИ, или не найдено ни одного ключевого устройства, то программа выведет соответствующее сообщение и завершится.
8.5. Генерация ключей
В окне загрузки ключей из списка доступных ключевых устройств выберите, то устройство, на котором требуется создать закрытые ключи, например дисковод (A: )
Если выбранное устройство требует PIN-код или пароль, введите его в соответствующем поле.
Для вывода панели настроек нажмите кнопку <↓>, окно примет следующий вид:
Нажмите кнопку <Сгенерировать новый ключ>, если до этого момента датчик случайных чисел (ДСЧ) не был инициализирован, то появится окно инициализации ДСЧ.
Проинициализируйте ДСЧ, нажимая клавиши на клавиатуре или перемещая указатель мыши.
Если до этого момента лицензионный носитель для генерации ключей не был загружен, то на экране появится окно загрузки лицензии.
Выберите букву съемного устройства для загрузки лицензионного носителя, затем вставьте в него сам лицензионный носитель и нажмите кнопку <Далее>.
Если загрузка лицензии прошла успешно, то на экране появится окно генерации ключей.
Выберите идентификатор нового ключа, определив сначала в выпадающем списке четырехзначный код ключа шифрования, а затем двухзначный личный код (ключевая серия определяется из лицензии автоматически). После этого станет доступной кнопка <Генерация>.
Введите строку атрибутов для генерируемых открытых ключей шифрования и ЭЦП (поле допускает не более 120 символов).
Для задания дополнительных параметров генерации, включите панель настроек, нажав кнопку <↓>.
Поле "Выходной каталог открытых ключей".
В данном каталоге, будут сохранены файлы открытых ключей шифрования и ЭЦП, а также файлы ключей, подготовленных для хранения на ЖМД.
Для ключевых носителей ГМД и USB-Flash-Drive программа по умолчанию предлагает сохранить открытые ключи и ключи для ЖМД в подкаталог носителя HD1 (создается автоматически).
При соохранении ключей для ЖМД на жестком диске, в выходном каталоге создается подкаталог с номером ключевой серии, в который помещаются файлы ключей для ЖМД
Переключатель "Генерируемые ключи".
Определяет, какие ключи необходимо сгенерировать на ключевой носитель.
По умолчанию на ключевой носитель генерируются ключи ЭЦП и шифрования.
Переключатель "Алгоритм генерации".
Определяет тип генерируемых ключей. В операциях зашифрования и расшифрования абоненты обязательно должны использовать ключи одного и того же типа.
По умолчанию генерируются ключи на основе ГОСТ Р. 34.10-2001
Флажок "Атрибуты в DOS кодировке".
Если флажок установлен, то генерируемые атрибуты записываются в кодировке CP866 (OEM) иначе, атрибуты записываются в кодировке Windows1251.
По умолчанию флажок установлен, для совместимости с некоторыми старыми версиями программы.
После задания всех необходимых параметров, вставьте новый ключевой носитель в ключевое устройство и нажмите кнопку <Генерация>.
После задания всех необходимых параметров, вставьте новый ключевой носитель в ключевое устройство и нажмите кнопку <Генерация>.
Если в качестве нового ключевого носителя был выбран лицензионный носитель, то программа предложить вставить другой носитель.
Если в качестве нового ключевого носителя был выбран другой ключевой носитель, то программа выдаст запрос на его перезапись.
Во время генерации ключей программа отображает свои действия в специальном окне.
Если генерация прошла успешно, то об этом выводится соответствующее сообщение.
По завершении процесса генерации, кнопка <Закрыть> станет доступной. Нажмите ее, и программа вернется в окно загрузки ключа.
9. КОНФИГУРАЦИЯ КЛЮЧЕВОЙ СИСТЕМЫ
После успешной загрузки ключей и нажатия кнопки <Далее>, окно загрузчика ключей закрывается. Если для загруженного ключа, ключевая система еще не сконфигурирована, то последует запрос на запуск “мастера настроек”.
Для автоматической настройки ключевой системы нажмите кнопку <Да>.
При этом происходит копирование с ключевого носителя, подготовленных для хранения на жёстком диске, закрытых ключей подписи и шифрования в подкаталог с именем конфигурационного файла конфигурационного файла. Если в процессе копирования нет необходимых файлов на ключевом носителе, то выдаётся окно, в котором необходимо указать путь к необходимым файлам.
Затем происходит создание справочника открытых ключей ЭЦП, в том же каталоге, и в него добавляются все открытые ключи подписи, найденные на ключевом носителе.
В завершении настройки будет выдана статистика с перечислением всех доступных функций:
В дальнейшем, все настройки, можно будет изменить из программы.
При выставленном флажке “Детальная настройка”, во время настройки программы можно изменить некоторые параметры, заданные по умолчанию:
По умолчанию ключевая система конфигурируется следующим образом:
1. Будет создан каталог <Базовый, где расположен профиль пользователя ОС>\<имя конфигурационного файла>;
2. Закрытые ключи для хранения на жестком диске будут скопированы в каталог <Базовый, где расположен профиль пользователя ОС>\<имя конфигурационного файла>;
3. Справочник открытых ключей ЭЦП — <Базовый, где расположен профиль пользователя ОС>\<имя конфигурационного файла>\FAXKEY\XXXXXX
(где XXXXXX — серия загруженного ключа)
При этом созданный справочник будет автоматически подписан. В справочник будут добавлены все открытые ключи ЭЦП, найденные в каталоге HD1 ключевого носителя. Если в каталоге будет найден уже созданный справочник открытых ключей, будет выдано соответствующее предупреждение, и он запишется взамен старого справочника.
4. Справочник открытых ключей шифрования — <Базовый, где расположен профиль пользователя ОС>\<имя конфигурационного файла>\OPENKEY\XXXXXX
(где XXXXXX — серия загруженного ключа)
При этом созданный справочник будет автоматически подписан. В справочник будут добавлены все открытые ключи шифрования, найденные в каталоге HD1 ключевого носителя. Если в каталоге будет найден уже созданный справочник открытых ключей, будет выдано соответствующее предупреждение, и он запишется взамен старого справочника.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
