Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Тема 12_ОРМ.rtf
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
1.2 Mб
Скачать

3.1.9 Хранение закрытых ключей

Для удобства хранения закрытых ключей может создаваться файл специального формата, в котором хранятся закрытые ключи. Файл, в свою очередь, может храниться на жестком диске компьютера, на дискете, на флэш-диске. Для защиты закрытого ключа от несанкционированного чтения он хранится в файле в зашифрованном виде, т.е. для того, чтобы прочитать закрытый ключ и воспользоваться им, необходимо знать пароль (парольную фразу), на которой зашифрован ключ.

Возможно также хранение закрытых ключей на внешних устройствах. Такие устройства должны иметь следующие свойства:

Устройство должно включать в себя область памяти, достаточной, чтобы записать туда закрытые ключи (иногда эту область памяти называют «хранилищем ключей»);

Устройство должно легко подключаться к компьютеру, чтобы ключи могли быть считаны;

Устройство должно легко отключаться от компьютера, чтобы злоумышленники не могли считать с него ключи.

Таким условиям удовлетворяет USB-токен «Вьюга», разработанный в ООО «Криптоком». Устройство «Вьюга» включает в себя генератор случайных чисел (т.е. может использоваться как датчик случайных чисел при генерации ключей) и область памяти объема, достаточного для хранения ключей. Устройство подключается к компьютеру через USB-порт. Возможно подключение устройства к компьютеру непосредственно в процессе работы.

3.1.10 Компрометация ключей

Компрометация ключей — понятие, которое включает в себя факт доступа посторонних лиц к секретным ключам, а также возможность такого доступа или подозрение на него. Скомпрометированный секретный ключ — главная опасность для любой системы защиты информации, поэтому принимаются специальные меры для защиты секретных ключей: их никогда не записывают на жесткий диск компьютера, их держат на отдельных носителях, их зашифровывают, их защищают на пароле и т.д. Тем не менее, случаи компрометации возможны.

В случае компрометации секретный ключ и парный к нему открытый вносятся в специальные списки, содержащие скомпрометированные ключи. Такие списки в разных криптографических продуктах также могут называться по-разному — стоп-листы, списки отзыва сертификатов и т.д. Действие скомпрометированных ключей прекращается. Подпись, выработанная на скомпрометированном ключе, автоматически считается некорректной; информацию из документа, зашифрованного на скомпрометированном ключе, нельзя считать секретной.

Владелец скомпрометированных ключей создает для себя новые ключи.

3.2 Работа с сертификатами в Windows

3.2.1 Программные средства криптографической защиты

Для реализации криптографической защиты документов существуют специальные программные продукты, называемые средствами криптографической защиты информации (СКЗИ). СКЗИ предоставляют все функции, необходимые для осуществления криптографической защиты.

Некоторые СКЗИ представляют собой самостоятельные программы или программные комплексы, имеющие собственный интерфейс. Вся работа по защите информации, от создания ключей и работы с сертификатами до выработки/проверки подписи и зашифровывания/расшифровывания, полностью проводится в рамках такого универсального программного комплекса. В данном руководстве такие СКЗИ не рассматриваются.

Другие СКЗИ предоставляют криптографические функции пользовательским приложениям. Такие продукты называются криптопровайдерами (или CSP, от Cryptographic Service Provider).

Криптопровайдеры

Все криптопровайдеры используют общие принципы, описанные выше. У каждого криптопровайдера собственный набор алгоритмов и собственные требования к формату ключей и сертификатов.

Криптопровайдер — это программное средство, рассчитанное на работу в определенной операционной среде и на взаимодействие с приложениями, работающими в этой среде.

С помощью функций, предоставляемых криптопровайдером, в частности, можно:

-Создавать криптографические ключи. Эти ключи будут предназначены для алгоритмов, реализованных в данном криптопровайдере;

-Выполнять выработку и проверку электронной подписи под документами;

-Выполнять зашифрование и расшифрование документов.

При использовании криптопровайдеров работа с сертификатами в большинстве случаев проводится с помощью системных средств. Такая работа описана в следующих разделах. Возможна также работа с сертификатами с помощью дополнительных скриптов и утилит, предоставляемых различными поставщиками при необходимости.

Выработка/проверка подписи и зашифровывание/расшифровывание производятся в интерфейсе пользовательских приложений. В настоящее время многие приложения рассчитаны на использование криптопровайдеров. Описание методов защиты информации в приложениях можно найти в документации к соответствующим приложениям.

В настоящее время разработано множество различных криптопровайдеров. Криптопровайдеры имеются в составе дистрибутива OC Windows. Кроме того, в операционной системе могут быть установлены дополнительные криптопровайдеры.

Различные приложения, в которых предусмотрено взаимодействие с криптопровайдерами, можно настраивать на работу с разными криптопровайдерами, «указывая» им, к какому криптопровайдеру им следует обращаться за предоставлением криптографических функций.

Выбор криптопровайдера диктуется прежде всего тем, какие требования предъявляются к криптографическим алгоритмам, которые будут использоваться для защиты документов.

В состав дистрибутива ОС Windows входят криптопровайдеры, предоставляющие криптографические функции пользовательским приложениям, в том числе почтовым программам. Но эти криптопровайдеры используют алгоритмы, соответствующие зарубежным стандартам (в частности, широко известные алгоритмы RSA, DSA и др.)

Криптопровайдеров, использующих алгоритмы, соответствующие российским ГОСТам, в составе дистрибутива ОС Windows в настоящий момент нет. Но такие криптопровайдеры существуют и могут быть установлены в системе. Таким криптопровайдером, например, является криптопровайдер МагПро CSP.