Входящие в состав программного обеспечения функции позволяют сформировать запрос Службе «Электронного нотариата», организовать транспортировку заявки по протоколу HTTP инкапсулированного в TLS с предоставлением серверу Службы персонального сертификата пользователя и получение DVC квитанции по тому же транспорту. Абонентский пункт имеет средства визуализации и локального хранения полученных DVC квитанций.
4 Заключительные положения
Таким образом, для использования сервисов Электронного Нотариата Доверенной Третьей Стороны необходимо наличие либо утилиты pki_tool (для работы в режиме командной строки и автоматизации запросов к сервисам ДТС), либо программного средства «Digital Secretary Lite» (для использования сервисов ДТС в графическом режиме). Программные средства должны быть установлены в соответствии с документацией, поставляемой при их приобретении, и настроены в соответствии с рекомендациями и примерами, данными выше.
Служба «Электронного нотариата» является самостоятельным программным комплексом, и реализовывает разовую или абонентскую услугу по проверке и сертификации информации, проверке сертификатов и выработке квитанции, содержащих «штамп» времени. В Службе «Электронного нотариата» сведены службы, техническая реализация которых стандартизована международными рекомендациями, по фактам всевозможных проверок, подтверждений и выработки «штампа времени» для внешних компонент инфраструктуры открытых ключей. При использовании Службы в системах обмена электронными документами решение опирается на международные рекомендации X.842 в соответствующем объеме.
Список использованных источников
1. Рекомендации Международного союза телекоммуникаций серии X.842. Руководящие указания по применению и управлению службами доверенной третьей стороны.
2. Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols C. Adams, P. Sylvester, M. Zolotarev, R. Zuccherato, RFC 3029, February 2001.
3. X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP M. Myers, R. Ankney, A. Malpani, S. Galperin, C. Adams, RFC 2560, June 1999
4. Internet X.509 Public Key InfrastructureTime-Stamp Protocol (TSP), C. Adams, P. Cain, D. Pinkas, R. Zuccherato, RFC 3161, August 2001
5. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № ПР-1895.
6. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
7. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».
8. Постановление Правительства Российской Федерации от 26 июня 1995 г. «Положение о сертификации средств защиты информации» (с изм. и доп. от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004 г.).
9. Указ Президента Российской Федерации N 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 года.
10. Положение ПКЗ-2005 «О разработке, производстве, реализации и использовании шифровальных (криптографических) средств защиты информации». Утверждено приказом ФСБ России от 9 февраля 2005 г. №66.
11. Приказ ФАПСИ от 13 июня 2001 г. N 152 Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
12. Постановление Правительства РФ О лицензировании деятельности по технической защите конфиденциальной информации.
13. ГОСТ Р.34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
14. ГОСТ Р.34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
15. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
16. Hypertext Transfer Protocol — HTTP/1.0. T. Berners-Lee, R. Fielding, H. Frystyk, RFC 1945, May 1996.
17. Hypertext Transfer Protocol -- HTTP/1.1. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, T. Berners-Lee, RFC 2616, June 1999.
18. The Secure HyperText Transfer Protocol. E. Rescorla, A. Schiffman, RFC 2660, August 1999.
19. The TLS Protocol. Version 1.0 T. Dierks, C. Allen, RFC 2246, January 1999.
20. Cryptographic Message Syntax R. Housley, RFC 2630, June 1999.
21. Автоматизированная Система Служба «Заверения электронных сообщений» (Служба «Электронного Нотариата»). Описание применения. Кросс», Москва – 2005.
Приложение А
Описание применения утилиты командной строки
В примере будет описано применение утилиты pki_tool, но может использоваться также request_tool, вид команд при этом не изменится.
Исходное состояние:
· установлен CSP 3.6
· на некотором носителе имеется контейнер с приватным ключем ( FQCN )
· имеется файл с сертификатом (соответствующим приватному ключу) ( cert. crt )
· есть директория где будет расположено хранилище программного PCKS#11-устройства основанного на CSP ( some/path/csp11 )
· есть конфигурационный файл КриптоПРО для pki_tool - (cpro. cfg) следующего содержания:
<PKCS11ManagerConfig>
<PKCS11DeviceConfig>
<Name>CSP11</Name>
<Driver>/usr/local/lib/libcsp11.so</Driver> ------ или для win32 ---- csp11.dll
<Parameters>/some/path/csp11</Parameters>
</PKCS11DeviceConfig>
</PKCS11ManagerConfig>
libcsp11.so или csp11.dll – библиотеки КриптоПро CSP.
1. Предварительная настройка pki_tool
1.1 Убедиться что pki_tool распознал библиотеку токенов
> pki_tool -cfg cpro. cfg –slotlist
Slot #0:
Description: GOST-Rus PKCS#11 software token
Manufacturer: Top Cross LLC.
Hardware version: 0.0
Firmware version: 1.7
Slot Flags: token present
Device:
Label:
Serial: ################
Model: csP#11 v1
Hardware version: 0.0
Firmware version: 1.7
Public memory: total 0, free 0
Private memory: total 0, free 0
Device Flags: CKF_RNG
CKF_LOGIN_REQUIRED
CKF_DUAL_CRYPTO_OPERATIONS
1.2 Проинициализировать хранилище pkcs#11-устройства,
> pki_tool - cfg cpro. cfg - init <USERPIN> <SOPIN> <LABEL>
[ OK ][ p11 ][ init ][ - ]
\\ <USERPIN> - числовая последовательность, идентифицирующая
данное хранилище (токен), <SOPIN> <LABEL> - необязательные поля.
просмотреть результаты инициализации:
> pki_tool - cfg cpro. cfg –slotlist
[ 1 ] PKCS#11 devices available
Slot #0:
Description: GOST-Rus PKCS#11 software token
Manufacturer: Top Cross LLC.
Hardware version: 0.0
Firmware version: 1.7
Slot Flags: token present
Device:
Label: SUPER
Serial: ################
Model: csP#11 v1
Hardware version: 0.0
Firmware version: 1.7
Public memory: total 0, free 0
Private memory: total 0, free 0
Device Flags: CKF_RNG
CKF_LOGIN_REQUIRED
CKF_USER_PIN_INITIALIZED
CKF_DUAL_CRYPTO_OPERATIONS
CKF_TOKEN_INITIALIZED
1.3 Просмотреть доступные для КриптоПро контейнеры (для справки):
> pki_tool -cfg cpro. cfg - pin <USERPIN> - cmd cspm - list a
===========================
\\.\HDIMAGE\CN=EXCH1 CLIENT FROM NEXUS
Press: q - to quit...
any key - to continue...
===========================
\\.\HDIMAGE\CN=TEST SERVER EXCH1
Press: q - to quit...
any key - to continue...
===========================
\\.\HDIMAGE\HDIMAGE\\p11test.000
Press: q - to quit...
any key - to continue...
1.4 Просмотреть все неподключенные контейнеры и подключить нужный (один)
> pki_tool - cfg cpro. cfg - pin <USERPIN> - cmd cspm - list n
===========================
\\.\HDIMAGE\CN=EXCH1 CLIENT FROM NEXUS
Press: i - to install this container into PKCS#11-token
q - to quit...
any key - to continue...
===========================
\\.\HDIMAGE\CN=TEST SERVER EXCH1
Press: i - to install this container into PKCS#11-token
q - to quit...
any key - to continue...
===========================
\\.\HDIMAGE\HDIMAGE\\p11test.000
Press: i - to install this container into PKCS#11-token
q - to quit...
any key - to continue...
i
Container password:
ВАЖНО: на этом этапе ошибка при вводе пароля для доступа к контейнеру НИКАК не диагностируется.
1.5 Установить сертификат удостоверяющего центра:
./pki_tool -cfg cpro. cfg - pin 12345678 - so - cmd cert - in root. cer
ВАЖНО: сертификаты должен быть в DER-кодировке.
1.6 Установить личный сертификат (для того чтобы выполнилась привязка к приватному ключу необходимо делать это с авторизацией в PKCS#11-устройстве):
>pki_tool - cfg cpro. cfg - pin <USERPIN> - cmd cert - in <cert. cer>
[ OK ][ cert ][ import (*) ][ - ]
Проверить корректность установки сертификата и его привязки к приватному ключу:
>pki_tool -cfg cpro. cfg - pin <USERPIN> - cmd cert - list
================
Subject: (*)
CN=EXCH1 CLIENT FROM NEXUS, C=RU
Issuer:
CN=УЦ КЛАСС1,OU=Корпоративный УЦ, O= Кросс, L=Москва, ST=MSK, C=RU
Serial: 57
----------------
'd' <Enter> to delete certificate with private key (if present)
't' <Enter> to see detailed text certificate representation
'v' <Enter> to verify certificate
or any other key to continue...
наличие (*) рядом с Subject - это и есть показатель наличия приватного ключа соответствующего указанному сертификату.
2. Примеры использования pki_tool
2.1 Локальное подписание документа (обращения к ДТС не происходит)
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
