Лабораторная работа №4 Настройка шифрования и подписи документов в Windows 7.

Цель работы: Изучить основные технологии шифрования и применения цифровой подписи в ОС Windows 7.

Технические и программные средства: Oracle VM Virtual Box, виртуальная машина под управлением Windows 2008 Server, имя сервера DC2, виртуальная машина под управлением Windows 7, дистрибутив пакета Microsoft Office для установки на виртуальную машину под управлением Windows 7.

Краткие теоретические сведения.

Инфраструктура открытых ключей позволяет выдать каждому участнику обмена данными личный сертификат и осуществлять с их помощью аутентификацию пользователей, а также шифрование и электронную подпись файлов.

Сертификаты, выпущенные центром сертификации ОС Windows 2008 Server используется для выполнения следующих действий.

Проверка подлинности сервера  применяется серверами (например, защищёнными web-серверами, использующими протокол Secure Sockets Layer) для аутентификации самих себя по отношению к клиентам.

Проверка подлинности клиентаи  применяется клиентами (например, пользователями Web) для аутентификации самих себя по отношению к серверам.

Подписывание кода  используется производителями программных средств для аутентификации пользователями программ (например, элементов управления ActiveX).

Защищённая электронная почта  применяется для подписывания и кодирования электронных сообщений с помощью протокола Secure/Multipurpose Internet Mail Extensions (S/MIME).

Подписывание документа  применяется, например, для подписывания документов MS Office.

Файловая система EFS  применяется с симметричным ключом шифрования и дешифрования файлов и папок.

При получении сертификатов в удостоверяющем центре (или центре сертификации в терминологии Microsoft) генерируется открытый и закрытый ключи. Оба они хранятся в сертификате. Когда требуется передать кому-нибудь сертификат, то сертификат экспортируется без закрытых ключей и передаётся, чтобы никто посторонний не смог воспользоваться секретным ключом. Для безопасного хранения сертификатов Windows использует хранилище сертификатов отдельно для каждого пользователя. Так что никто другой, включая администратора, не может воспользоваться вашими секретными ключами.

Однажды создав или получив электронный сертификат и поместив его в хранилище человек получает возможность подписывать свои сообщения и шифровать их. В хранилище сертификаты хранятся в соответствии с их назначением и проявляемым к ним уровню доверия. Доступ к хранилищам сертификатов осуществляется с помощью оснастки mmc Сертификаты. Альтернативным способом просмотра хранилищ сертификатов является программа Internet Explorer  Свойства  Содержание  Сертификаты.

В операционной системе Windows определены следующие хранилища сертификатов.

1. Личное любые ваши сертификаты, используемые вами и связанные с вашими закрытыми ключами.

2. Доверенные корневые центры сертификации  автоматически подписанные сертификаты от ЦС, которые неявным образом являются доверенными. Здесь хранятся сертификаты, изданные сторонними ЦС, Microsoft, а также вашей организацией (если организация располагает собственным сервером сертификатов)

3. Доверительные отношения в предприятии  помещая сюда сертификаты, изданные другими организациями, вы делаете доверенными корневые сертификаты этих организаций. Что влечёт за собой автоматическое доверие любым сертификатам, изданными ими.

4. Промежуточные центры сертификации  сертификаты, изданные другими ЦС

5. Сертификаты, к которым нет доверия  сертификаты, которым вы явно не доверяете. Здесь обязательно находятся два сертификата выданных VeriSign, которая в марте 2001 года объявила о выдаче этих сертификатов лицу, сумевшему "войти в доверие". Также здесь хранятся сертификаты, когда вы выбираете опцию не доверять сертификату.

6. Сторонние корневые центры сертификации та часть основных доверенных ЦС, которые отличны от Microsoft и вашей организации.

7. Доверенные лица  сертификаты, изданные доверенными людьми.

8. Другие пользователи  сертификаты людей, которым вы посылаете шифрованные сообщения или документы.

9. Запросы заявок на сертификаты  отложенные запросы на регистрацию сертификата.

Сертификаты могут быть экспортированы из хранилища в файл для переноса на другой компьютер. Форматы экспорта сертификатов:

1. DER encoded binary X.509. Аббревиатура от слов Distinguished Encoding Rules (Превосходные правила кодирования), DER X509 платформенно-независимый метод хранения сертификатов. Может использоваться для их передачи между компьютерами. Имеет расширение .cer и .crt.

2. Base-64 encoded X.509. Вариант кодирования, разработанный для использования совместно с S/MIME (безопасным протоколом электронной почты). Имеет расширение .cer и .crt.

3. Cryptographic Message Syntax Standard — сертификаты PKCS #7. В отличие от формата X509 сертификаты стандарта PKCS #7 (Public Key Cryptography Standard — криптографический стандарт открытого ключа) позволяет сохранить не только сам сертификат, но и все сертификаты в пути сертификации. Это позволяет сохранить доверие к сертификату на другом компьютере. Имеет расширение .p7b и .spc.

4. Файл обмена личной информации (Personal Information Exchange) — PKCS #12. Единственный формат, который может включать закрытые ключи. Ключ при генерации помечается как разрешённый к экспорту. Имеет расширение .pfx и .p12.

5. Microsoft Serialized Certificate Store. Этот формат используется только в том случае, если вы экспортируете сразу несколько сертификатов (для этого необходимо выделить желаемые сертификаты перед экспортом). Имеет расширение .sst.

Приложения Microsoft Office позволяют вставить в документ строку для цифровой подписи. Такие строки можно добавлять только в документы Word или книги Excel.

Строка подписи выглядит как обычное место для подписи в печатном документе, но действует по-другому. Когда строка подписи вставлена в документ Office, автор документа может предоставить сведения о предполагаемом лице, которое будет подписывать документ, а также поместить инструкции для этого лица. Когда электронная копия документа отправлена лицу, которое будет его подписывать, последний видит строку подписи и уведомление о том, что требуется его подпись. Можно щелкнуть строку подписи и поставить цифровую подпись в документе. Затем можно впечатать подпись, выбрать цифровое изображение своей подписи или подписать документ вручную, используя графические возможности планшетного компьютера (Рис. 8). Одновременно с появлением в документе видимого представления подписи добавляется цифровая подпись для удостоверения личности подписавшего. После того как в документе появилась цифровая подпись, он становится доступен только для чтения, чтобы не допустить внесение изменений.

Рисунок 8. Электронная подпись в приложении Microsoft Word.

Возможность сбора цифровых подписей с помощью строк подписи в документах Office позволяет организациям использовать безбумажные процессы заверения таких документов, как контракты или другие соглашения. В отличие от подписи бумажных документов, цифровые подписи могут предоставить сведения о том, что именно было подписано, а также позволяют проверять подпись в будущем.

Практические задания

Задание 1. Использование сертификата для шифрования файлов EFS.

1. Создайте каталог для шифрования и добавьте туда текстовый файл.

2. Зашифруйте каталог с помощью команды выпадающего меню и убедитесь, что в проводнике файл отображается зеленым цветом.

3. Зайдите в оснастку Сертификаты и посмотрите, каким сертификатом зашифрован каталог.

4. Скопируйте файл на другую виртуальную машину и попробуйте открыть текстовый файл.

Можете ли Вы увидеть и изменить содержимое файла? Почему?

ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ.

5. Экспортируйте сертификат и перенесите его на другой компьютер в соответствующее хранилище сертификатов.

6. Попробуйте расшифровать файл, просмотреть и изменить его содержимое.

Можете ли Вы увидеть и изменить содержимое файла? Почему?

Задание 2. Добавление и проверка ЭЦП в документ Word.

Установите Microsoft Office на виртуальную машину под управлением Windows 7.

Сгенерируйте сертификат для подписи кода. Для генерации сертификата используйте параметр Использование ключей – Оба (Рис. 9). Добавьте строку подписи в документ Microsoft Word. Для этого проделайте следующие действия.

1. Поместите указатель мыши в то место в документе, где необходимо добавить строку подписи.

2. На вкладке Вставка в группе Текст наведите указатель мыши на стрелку рядом с Строка подписи и затем выберите значение Строка подписи Microsoft Office.

3. В диалоговом окне Настройка подписи введите сведения о лице, которое будет подписывать эту строку подписи. Эти сведения будут отображены прямо под строкой подписи в документе. Выполните любое из следующих действий:

   1. введите имя подписывающего лица в поле Предлагается для подписания;

   2. введите название должности подписывающего лица (если таковое имеется) в поле Должность предложенного подписывающего.

Рисунок 9. Параметры запроса сертификата для подписи кода.

4. Введите адрес электронной почты подписывающего лица (если таковой имеется) в поле Адрес электронной почты предложенного подписывающего.

5. Если необходимо снабдить подписывающее лицо какими-либо инструкциями, впечатайте их в поле Инструкции для подписывающего. Инструкции отображаются в диалоговом окне Подпись, в котором лицо ставит подпись.

6. Если необходимо дать возможность подписывающему лицу добавлять комментарии к подписи, установите флажок Разрешить подписывающему добавлять примечания в окне подписи.

7. Если необходимо отобразить дату подписывания документа, установите флажок Показывать дату подписи в строке подписи.

8. Нажмите кнопку ОК.

Какая информация присутствует в строке цифровой подписи в документе?

При введении подписи в строку подписи в документе Office можно добавить как видимую подпись, так и цифровую. Для добавления видимой подписи необходимо иметь изображение обычной подписи человека и вставить его с помощью диалогового окна Выбор графической подписи. Такая подпись не обеспечивает проверки подлинности, целостности и происхождения документа. Добавьте невидимую цифровую подпись в строку подписи документа. Для этого проделайте следующие действия.

9. Нажмите кнопку Microsoft Office , выделите пункт Подготовка, а затем нажмите кнопку Добавить цифровую подпись.

10. Если требуется обозначить цель подписывания документа, введите эту информацию в поле под надписью Цель подписания документа в диалоговом окне Подпись.

11. Щелкните Подпись.

Опишите свойства сертификата, которым у Вас получилось подписать документ Microsoft Word.

Контрольные вопросы

1. Какой ключ используется для подписи, какой – для шифрования?

2. Какие свойства документа обеспечивает наличие цифровой подписи?

3. Какие два способа добавления подписи к документу Word Вы знаете? Чем они отличаются?

4. Какие хранилища сертификатов имеются в операционной системе Windows 7? Для чего каждое из них предназначено?

5. Какие форматы экспорта сертификатов Вы знаете? Перечислите расширения файлов сертификатов.

6. Какой формат экспорта сертификатов позволяет экспортировать закрытый ключ? Какой формат экспорта Вы использовали в этой лабораторной работе и почему?