“КриптоТри” — средство защиты электронного документооборота

--> Дата: Фев 18, 2008 58

С развитием локальных и глобальных сетей все шире используются системы электронного документооборота. Такие системы существенно расширяют возможности как коммерческих компаний, так и государственных организаций. Системы электронного документооборота играют важную роль в государственном управлении, а также в управлении организациями, имеющими разветвленную сеть подразделений, филиалов и представительств.

При организации электронного документооборота необходимо обеспечить юридическую значимость электронных документов в соответствии с российским законодательством. Эту задачу можно решить, развернув инфраструктуру открытого распределения ключей (PKI), систему электронной цифровой подписи (ЭЦП) и разграничения доступа к документам.

Весной 2007 г. компании Digt (http://www.digt.ru), «Крипто-Про» (http://www.cryptopro.ru) и «Актив» (http://www.rutoken.ru) предложили комплексное решение «КриптоТри», позволяющее компаниям просто и быстро организовать рабочие места в инфраструктуре PKI и встроить криптоалгоритмы в Интернет-приложения, CRM- и ERP-системы, электронные архивы и другие приложения и бизнес-системы. В состав комплекса входят СКЗИ «КриптоПро CSP» 3.0, ПО «КриптоАРМ» 4.0 и электронный идентификатор Rutoken. Он также включает шаблоны организационных и распорядительных документов, обеспечивающих признание ЭЦП равнозначной собственноручной подписи в юридически значимом документообороте. Этот комплект проектов документов разработан компанией «Крипто-Про» в соответствии с нормами действующего законодательства и сложившейся практикой. Организациям, эксплуатирующим продукт «КриптоТри», достаточно вставить в проекты документов свои реквизиты и информацию о типах документов, используемых в электронной форме.

Шифрование и электронная цифровая подпись. Для реализации ЭЦП используется сертифицированное средство криптографической защиты информации «КриптоПро CSP» 3.0. Этот продукт разработан в соответствии с криптографическим интерфейсом компании Microsoft и может использоваться для формирования ключей шифрования и ЭЦП, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации. В состав третьей версии входит криптопровайдер, отвечающий за выполнение основных криптографических функций: шифрование/расшифрование, хеширование, подпись и проверка подписи на уровне ядра ОС. В версии «КриптоАРМ СтандартPRO» поддерживается новый усовершенствованный формат ЭЦП, обеспечивающий проверку ее подлинности при архивном (длительном) хранении электронных документов.

Защита секретных ключей. Хранение секретных ключей в тайне — главное требование при эксплуатации системы ЭЦП. Конечно, эту задачу нельзя решить только техническими способами, но разработчики должны предоставить пользователю удобное и защищенное устройство для хранения ключей. В комплексе «КриптоТри» секретные ключи ЭЦП и цифровые сертификаты хранятся в защищенной памяти электронного идентификатора Rutoken. Он представляет собой аналог смарт-карты, но для работы с ним не требуется дополнительное оборудование (считыватель), данные надежно хранятся в энергонезависимой памяти токена объемом до 128 Кбайт. Большой объем защищенной памяти позволяет хранить на токене не только секретные ключи, но и цепочки сертификатов. Для доступа к данным нужно лишь подключить идентификатор к USB-порту, а затем набрать пин-код. Таким образом, пользователь должен не только иметь электронный идентификатор, но и знать код доступа к нему. Кроме пользователя, непосредственно работающего с данными, в Rutoken предусмотрена роль администратора, служащая для сервисных целей: форматирования токена, его разблокирования в том случае, если количество неверных попыток ввода пин-кода превысит допустимое, опционально — для смены пользовательского пин-кода. В то же время администратор не имеет доступа к пользовательским данным. В отличие от аналогичных зарубежных устройств в Rutoken для защиты данных используется аппаратно реализованный российский алгоритм шифрования ГОСТ 28147-89.

Работа в инфраструктуре открытых ключей (PKI). «КриптоАРМ» с модулем «Клиент УЦ» предоставляет удобные программные средства для управления сертификатами и секретными ключами на рабочих местах пользователей. Поддерживается работа с Удостоверяющими центрами (УЦ) Microsoft Certification Authority и «КриптоПро УЦ». Пользователь может управлять PKI-запросами и цифровыми сертификатами: создавать запросы различных типов (на получение и отзыв цифрового сертификата, приостановление и возобновление его действия и т. д.), отправлять их на рассмотрение и обработку в УЦ, проверять статус обработки запросов.

Управление жизненным циклом сертификатов. Модуль “Веб-сервис”, входящий в состав ПО «КриптоАРМ», значительно упрощает администрирование корпоративных систем, где требуется управление жизненным циклом цифровых сертификатов (выпуск, распространение, плановая смена). Этот модуль позволяет автоматизировать работу технических специалистов по настройке клиентских мест. Создание PKI-запросов, их отправка в УЦ, просмотр информации о запросе и статусе его обработки и другие операции выполняются в Центре регистрации модуля “Веб-сервис”.

Стандартная поставка продукта «КриптоТри» может быть расширена за счет специализированных модулей, которые поддерживают работу с УЦ, службами штампов времени (TSP), актуальных статусов (OCSP), двухфакторную аутентификацию пользователей в ОС и другие возможности.

Готовое решение «КриптоТри» позволяет разработчику любого бизнес-приложения сосредоточиться на решении задач электронного документооборота, а функции защиты доверить компаниям, профессионально занимающимся защитой информации и имеющим практический опыт развертывания систем PKI и электронной цифровой подписи. Отметим, что дополнение системы электронного документооборота сертифицированными средствами ЭЦП и создание рабочих мест в инфраструктуре открытых ключей занимает незначительное время при минимальном вложении средств.