Уважаемые пользователи, просим вас не печатать статьи и инструкции по использованию сервисов ВГТУ. Материалы постоянно изменяются и дополняются, поэтому бумажные версии очень быстро потеряют свою актуальность.
Ключевые системы и ключевые носители: различия между версиями
Valeria (обсуждение | вклад) (Новая страница: «6. Ключевая система и ключевые носители 6.1. Общие положения СКЗИ «КриптоПро CSP» v 4.0 являет...») |
Valeria (обсуждение | вклад) |
||
| (не показаны 2 промежуточные версии этого же участника) | |||
| Строка 1: | Строка 1: | ||
| − | + | ''Текст приведен согласно документу [https://ca.kontur.ru/Files/userfiles/file/Faq/cryptopro-license/%D0%96%D0%A2%D0%AF%D0%98_00087-01%2091%2001_%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%20%D0%9E%D0%B1%D1%89%D0%B0%D1%8F%20%D1%87%D0%B0%D1%81%D1%82%D1%8C.pdf ЖТЯИ 00087-01 91 01 Руководство администратора безопасности]'' | |
| − | + | ||
| − | СКЗИ «КриптоПро CSP» v 4.0 является системой с открытым распределением ключей на | + | == Общие положения СКЗИ == |
| − | основе асимметричной криптографии с использованием закрытого ключа на одной стороне и | + | СКЗИ «КриптоПро CSP» v 4.0 является системой с открытым распределением ключей на основе асимметричной криптографии с использованием закрытого ключа на одной стороне и соответствующего ему открытого ключа информационного взаимодействия на другой стороне. |
| − | соответствующего ему открытого ключа информационного взаимодействия на другой стороне. | + | |
| − | Пользователь, обладающий правом подписи и/или шифрования данных, вырабатывает | + | Пользователь, обладающий правом подписи и/или шифрования данных, вырабатывает на своем рабочем месте или получает у администратора безопасности (в зависимости от принятой политики безопасности) личные закрытый ключ (ключ ЭП) и открытый ключ (ключ проверки ЭП). На основе каждого открытого ключа (ключа проверки ЭП) Удостоверяющим Центром формируется сертификат открытого ключа (сертификат ключа проверки ЭП). |
| − | на своем рабочем месте или получает у администратора безопасности (в зависимости от | + | |
| − | принятой политики безопасности) личные закрытый ключ (ключ ЭП) и открытый ключ (ключ | + | === Шифрование данных При зашифровании сообщения пользователем === |
| − | проверки ЭП). На основе каждого открытого ключа (ключа проверки ЭП) Удостоверяющим | + | A для пользователя Б, пользователь А формирует симметричный ключ связи (сеансовый ключ информационного обмена) на основе своего закрытого ключа обмена и открытого ключа обмена пользователя Б. Соответственно, для расшифрования этого сообщения пользователем Б формируется тот же симметричный ключ на основе своего закрытого ключа обмена и открытого ключа обмена пользователя А. |
| − | Центром формируется сертификат открытого ключа (сертификат ключа проверки ЭП). | + | |
| − | + | Таким образом, для обмена данными каждому пользователю необходимо иметь: | |
| − | При зашифровании сообщения пользователем A для пользователя Б, пользователь А | + | |
| − | формирует симметричный ключ связи (сеансовый ключ информационного обмена) на основе | + | * личный закрытый ключ обмена; |
| − | своего закрытого ключа обмена и открытого ключа обмена пользователя Б. Соответственно, | + | * открытые ключи обмена других пользователей. |
| − | для расшифрования этого сообщения пользователем Б формируется тот же симметричный ключ | + | |
| − | на основе своего закрытого ключа обмена и открытого ключа обмена пользователя А. | + | Сеансовый ключ информационного обмена вырабатывается на основе алгоритма ДиффиХеллмана. Алгоритм Диффи-Хеллмана обеспечивает формирование сеансовых ключей, но не обеспечивает аутентификацию связывающихся сторон. Поэтому данный алгоритм должен использоваться совместно с протоколами аутентификации, в частности, с протоколом «КриптоПро IKE». |
| − | Таким образом, для обмена данными каждому пользователю необходимо иметь: | + | |
| − | + | === Формирование и проверка ЭП === | |
| − | + | Для формирования электронной подписи используется ключ электронной подписи, для проверки – соответствующий ключ проверки электронной подписи. Проверяющий должен быть полностью уверен в принадлежности ключа проверки ЭП конкретному пользователю. Для этой цели используется сертификат ключа проверки ЭП, подписанный Удостоверяющим Центром. | |
| − | Сеансовый ключ информационного обмена вырабатывается на основе алгоритма ДиффиХеллмана. Алгоритм Диффи-Хеллмана обеспечивает формирование сеансовых ключей, но не | + | |
| − | обеспечивает аутентификацию связывающихся сторон. Поэтому данный алгоритм должен | + | Каждому пользователю, обладающему правом подписи, необходимо иметь: |
| − | использоваться совместно с протоколами аутентификации, в частности, с протоколом | + | |
| − | «КриптоПро IKE». | + | * ключ электронной подписи; |
| − | + | * ключи проверки электронной подписи (сертификаты ключей проверки электронной подписи) других пользователей. | |
| − | Для формирования электронной подписи используется ключ электронной подписи, для | + | |
| − | проверки – соответствующий ключ проверки электронной подписи. Проверяющий должен быть | + | '''Ключ электронной подписи может быть использован только для формирования ЭП.''' |
| − | полностью уверен в принадлежности ключа проверки ЭП конкретному пользователю. Для этой | + | |
| − | цели используется сертификат ключа проверки ЭП, подписанный Удостоверяющим Центром. | + | '''Закрытый ключ обмена может быть использован как для формирования ключа связи с другим пользователем, так и для формирования ЭП.''' |
| − | Каждому пользователю, обладающему правом подписи, необходимо иметь: | + | |
| − | + | == Ключевой контейнер == | |
| − | + | Закрытые ключи СКЗИ «КриптоПро CSP» v 4.0 хранятся в ключевом контейнере, который может содержать в себе: | |
| − | подписи) других пользователей. | + | |
| − | Ключ электронной подписи может быть использован только для формирования | + | * только ключ подписи; |
| − | ЭП. | + | * только ключ обмена; |
| − | Закрытый ключ обмена может быть использован как для формирования ключа | + | * ключ подписи и ключ обмена одновременно. |
| − | связи с другим пользователем, так и для формирования ЭП. | + | |
| − | + | Единственный ключ ключевого контейнера (ключ подписи или ключ обмена) называется первичным ключом. Если в контейнере два ключа, то первый ключ - ключ подписи - называется первичным, второй ключ – ключ обмена - вторичным. | |
| − | Закрытые ключи СКЗИ «КриптоПро CSP» v 4.0 хранятся в ключевом контейнере, который | + | |
| − | может содержать в себе: | + | Ключевой контейнер содержит кроме ключей служебную информацию, необходимую для обеспечения криптографической защиты ключей, их целостности и т.п. |
| − | + | ||
| − | + | Каждый ключевой контейнер (независимо от типа носителя), является самодостаточным и содержит всю необходимую информацию для работы как с самим контейнером, так и с закрытыми (и соответствующими им открытыми) ключами. | |
| − | + | ||
| − | |||
| − | |||
| − | |||
| − | Единственный ключ ключевого контейнера (ключ подписи или ключ обмена) называется | ||
| − | первичным ключом. Если в контейнере два ключа, то первый ключ - ключ подписи - | ||
| − | называется первичным, второй ключ – ключ обмена - вторичным. | ||
| − | Ключевой контейнер содержит кроме ключей служебную информацию, необходимую для | ||
| − | обеспечения криптографической защиты ключей, их целостности и т.п. | ||
| − | Каждый ключевой контейнер (независимо от типа носителя), является самодостаточным | ||
| − | и содержит всю необходимую информацию для работы как с самим контейнером, так и с | ||
| − | закрытыми (и соответствующими им открытыми) ключами. | ||
На ключевом носителе ключи хранятся в формате ключевого контейнера. | На ключевом носителе ключи хранятся в формате ключевого контейнера. | ||
| − | + | ||
| − | Ключевой контейнер содержит следующую информацию: | + | == Формат ключевого контейнера == |
| − | + | Ключевой контейнер содержит следующую информацию: | |
| − | + | ||
| − | + | * первичный ключ; | |
| − | + | * маски первичного ключа; | |
| − | + | * контрольную информацию первичного ключа; | |
| − | Каждый | + | * вторичный ключ (опциональный); |
| − | необходимые для формирования и экспорта открытого ключа. | + | * резервную копию ключевого контейнера. |
| − | Формат ключевого контейнера обеспечивает чтение ключей и соответствующих масок | + | |
| − | отдельными операциями в раздельные (разнесенные по адресам) области памяти, для чего он | + | Каждый закрыт[[Заглавная страница]]<nowiki/>ый ключ хранится в формате, дополнительно содержащем все константы, необходимые для формирования и экспорта открытого ключа. |
| − | содержит шесть зон (реализация зон зависит от типа ключевого носителя). | + | |
| − | Ключевой контейнер содержит также дополнительную информацию, необходимую для | + | Формат ключевого контейнера обеспечивает чтение ключей и соответствующих масок отдельными операциями в раздельные (разнесенные по адресам) области памяти, для чего он содержит шесть зон (реализация зон зависит от типа ключевого носителя). |
| − | обеспечения его восстановления при возникновении различных программно-аппаратных сбоев | + | |
| − | (дополнительная информация включается в тех случаях, когда размер ключевого контейнера | + | Ключевой контейнер содержит также дополнительную информацию, необходимую для обеспечения его восстановления при возникновении различных программно-аппаратных сбоев (дополнительная информация включается в тех случаях, когда размер ключевого контейнера не ограничен размерами памяти физического носителя). |
| − | не ограничен размерами памяти физического носителя). | + | |
| − | Для использования ключевого контейнера только на одном определенном ПК (например, | + | Для использования ключевого контейнера только на одном определенном ПК (например, для привязки токена к ПК), возможно этот контейнер зашифровать на другом контейнере, хранящимся на этом ПК (желательно не экспортируемом). |
| − | для привязки токена к ПК), возможно этот контейнер зашифровать на другом контейнере, | + | |
| − | хранящимся на этом ПК (желательно не экспортируемом). | + | |
| − | + | == Формирование ключей == | |
| − | Формирование ключей пользователя производится с использованием функции CPGenKey | + | Формирование ключей пользователя производится с использованием функции CPGenKey (см. ЖТЯИ.00087-01 96 01 «КриптоПро CSP. v 4.0 Руководство программиста») и спецификацией типа формируемого ключа: AT_KEYEXCHANGE. AT_SIGNATURE, AT_UECSYMMETRICKEY. |
| − | (см. ЖТЯИ.00087-01 96 01 «КриптоПро CSP. v 4.0 Руководство программиста») и | + | |
| − | спецификацией типа формируемого ключа: AT_KEYEXCHANGE. AT_SIGNATURE, | + | Формирование ключей возможно, если: |
| − | AT_UECSYMMETRICKEY. | + | |
| − | Формирование ключей возможно, если: | + | 1. контекст криптопровайдера «КриптоПро CSP» открыт функцией CPAcquireContext с флагом CRYPT_NEWKEYSET и несуществующим именем ключевого контейнера, специфицированным параметром pszContainer; |
| − | 1. контекст криптопровайдера «КриптоПро CSP» открыт функцией CPAcquireContext с | + | |
| − | флагом CRYPT_NEWKEYSET и несуществующим именем ключевого контейнера, | + | 2. контекст криптопровайдера «КриптоПро CSP» открыт функцией CPAcquireContext с указанием ранее созданного ключевого контейнера, специфицированного параметром pszContainer. |
| − | специфицированным параметром pszContainer; | + | |
| − | 2. контекст криптопровайдера «КриптоПро CSP» открыт функцией CPAcquireContext с | + | ''1. Для исполнения 1-Base закрытые ключи ЭП и обмена формируются с использованием ПДСЧ с инициализацией его от БиоДСЧ или от внешней гаммы.'' |
| − | указанием ранее созданного ключевого контейнера, специфицированного параметром | + | |
| − | pszContainer. | + | ''2. При использовании считывателей смарт-карт или устройств чтения таблеток Touch-Memory DALLAS необходимо проведение проверки настройки используемых ими портов ПЭВМ в BIOS и ОС.'' |
| − | + | ||
| − | 1. Для исполнения 1-Base закрытые ключи ЭП и обмена формируются с использованием ПДСЧ с | + | ''3. Перед использованием процессорные карты должны быть «выпущены» с использованием транспортного пин-кода и ПО выпуска карт (поставляются дистрибутором карт)'' |
| − | инициализацией его от БиоДСЧ или от внешней гаммы. | + | |
| − | 2. При использовании считывателей смарт-карт или устройств чтения таблеток Touch-Memory | + | ''4. При использовании НГМД в качестве ключевого носителя во избежание потери ключевой информации рекомендуется хранить ее копию.'' |
| − | DALLAS необходимо проведение проверки настройки используемых ими портов ПЭВМ в BIOS и | + | |
| − | ОС. | + | == Ключевые носители == |
| − | 3. Перед использованием процессорные карты должны быть «выпущены» с использованием | + | В качестве ключевых носителей используются: |
| − | транспортного пин-кода и ПО выпуска карт (поставляются дистрибутором карт) | + | |
| − | 4. При использовании НГМД в качестве ключевого носителя во избежание потери ключевой | + | * ГМД 3,5’’, USB диски; |
| − | + | * Смарткарты GEMALTO (GemSim1, GemSim2, Optelio, OptelioCL, OptelioCL2, Native) ; | |
| − | + | * eToken, Jacarta; | |
| − | + | * USB-токены Рутокен ЭЦП (Flash, Bluetooth), Рутокен Lite Novacard; | |
| − | информации рекомендуется хранить ее копию. | + | * Смарткарты Рутокен Lite SC, Рутокен ЭЦП SC; |
| − | + | * Rutoken S; | |
| − | В качестве ключевых носителей используются: | + | * Смарткарты РИК (ОСКАР 1, ОСКАР 2, Магистра, TRUST, TRUSTS, TRUSTD); |
| − | + | * Смарткарта УЭК; | |
| − | + | * Смарткарта MS_KEY K; | |
| − | + | * ESMART Token; | |
| − | + | * Смарткарты Athena IDProtect, MorphoKST, Cha cardOS, Cha JCOP; | |
| − | + | * Смарткарты Алиот INPASPOT Series, SCOne Series; | |
| − | + | * Раздел HDD ПЭВМ (в Windows - реестр); | |
| − | + | * Идентификаторы Touch-Memory DS1995, DS1996. | |
| − | + | ||
| − | + | Использование ключевых носителей в зависимости от программно-аппаратной платформы отражено в ЖТЯИ.00087-01 30 01. СКЗИ «КриптоПро CSP 4.0». Формуляр, п. 3.8. | |
| − | + | ||
| − | + | ''1. В состав дистрибутива СКЗИ входят библиотеки поддержки всех перечисленных носителей, но не входят драйверы для ОС. По вопросам получения драйверов необходимо обращаться к производителям соответствующих устройств.'' | |
| − | + | ||
| − | + | ''2. Хранение закрытых ключей на HDD ПЭВМ и USB дисках (в реестре ОС Windows, в разделе HDD при работе под управлением других ОС) допускается только при условии распространения на HDD, USB диск или на ПЭВМ с HDD требований по обращению с ключевыми носителями (п.6.7 ЖТЯИ.00087-01 91 01. Руководство администратора безопасности общая часть).'' | |
| − | + | ||
| − | Использование ключевых носителей в зависимости от программно-аппаратной | + | ''3. Все вышеперечисленные носители используются только в качестве пассивного хранилища ключевой информации без использования криптографических механизмов, реализованных на смарт-карте/токене.'' |
| − | платформы отражено в ЖТЯИ.00087-01 30 01. СКЗИ «КриптоПро CSP 4.0». Формуляр, п. 3.8. | + | |
| − | + | ''4. Использование носителей других типов - только по согласованию с ФСБ России.'' | |
| − | 1. В состав дистрибутива СКЗИ входят библиотеки поддержки всех перечисленных носителей, но | + | |
| − | не входят драйверы для ОС. По вопросам получения драйверов необходимо обращаться к | + | == Размеры ключей == |
| − | производителям соответствующих устройств. | + | Длины ключей электронной подписи: |
| − | 2. Хранение закрытых ключей на HDD ПЭВМ и USB дисках (в реестре ОС Windows, в разделе | + | |
| − | HDD при работе под управлением других ОС) допускается только при условии распространения | + | ключ электронной подписи 256 или 512 бит; |
| − | на HDD, USB диск или на ПЭВМ с HDD требований по обращению с ключевыми носителями | + | |
| − | (п.6.7 ЖТЯИ.00087-01 91 01. Руководство администратора безопасности общая часть). | + | ключ проверки электронной подписи 512 или 1024 бит. |
| − | 3. Все вышеперечисленные носители используются только в качестве пассивного хранилища | + | |
| − | ключевой информации без использования криптографических механизмов, реализованных на | + | Длины ключей, используемых при шифровании: |
| − | смарт-карте/токене. | + | |
| − | 4. Использование носителей других типов - только по согласованию с ФСБ России. | + | закрытый ключ 256 бит или 512 бит; |
| − | + | ||
| − | Длины ключей электронной подписи: | + | открытый ключ 512 бит или 1024 бита; |
| − | ключ электронной подписи 256 или 512 бит; | + | |
| − | ключ проверки электронной подписи 512 или 1024 бит. | ||
| − | Длины ключей, используемых при шифровании: | ||
| − | закрытый ключ 256 бит или 512 бит; | ||
| − | открытый ключ 512 бит или 1024 бита; | ||
симметричный ключ 256 бит. | симметричный ключ 256 бит. | ||
| − | + | ||
| − | + | == Хранение ключевых носителей == | |
| − | + | При хранении ключей необходимо обеспечить невозможность доступа к ключевым носителям не допущенных к ним лиц. Пользователь несет персональную ответственность за хранение личных ключевых носителей. | |
| − | + | ||
| − | При хранении ключей необходимо обеспечить невозможность доступа к ключевым | + | Запрещается оставлять без контроля вычислительные средства с установленным СКЗИ после ввода ключевой информации. |
| − | носителям не допущенных к ним лиц. Пользователь несет персональную ответственность за | + | |
| − | хранение личных ключевых носителей. | + | В случае централизованного хранения ключевых носителей в организации, эксплуатирующей СКЗИ, администратор безопасности (если он имеется) несет персональную ответственность за хранение личных ключевых носителей пользователей. |
| − | Запрещается оставлять без контроля вычислительные средства с установленным СКЗИ | + | |
| − | после ввода ключевой информации. | + | При хранении ключей в реестре Windows и на HDD ПЭВМ требования по хранению личных ключевых носителей распространяются на ПЭВМ (HDD ПЭВМ) (в том числе и пос ле удаления ключей из реестра, из HDD). |
| − | В случае централизованного хранения ключевых носителей в организации, | + | |
| − | эксплуатирующей СКЗИ, администратор безопасности (если он имеется) несет персональную | + | В случае невозможности отчуждения ключевого носителя с ключевой информацией от ПЭВМ организационно-техническими мероприятиями должен быть исключен доступ нарушителей к ПЭВМ с ключами. |
| − | ответственность за хранение личных ключевых носителей пользователей. | + | |
| − | При хранении ключей в реестре Windows и на HDD ПЭВМ требования по хранению | + | При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту. |
| − | личных ключевых носителей распространяются на ПЭВМ (HDD ПЭВМ) (в том числе и пос ле | + | |
| − | удаления ключей из реестра, из HDD). | + | СКЗИ может функционировать и хранить ключевую информацию в двух режимах: |
| − | В случае невозможности отчуждения ключевого носителя с ключевой информацией от | + | |
| − | ПЭВМ организационно-техническими мероприятиями должен быть исключен доступ | + | * в памяти приложения; |
| − | нарушителей к ПЭВМ с ключами. | + | * в «Службе хранения ключей», реализованной в виде системного сервиса. |
| − | При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту. | + | |
| − | СКЗИ может функционировать и хранить ключевую информацию в двух режимах: | + | Ключи находятся в кэше до завершения приложения или до выключения компьютера (остановки службы), что позволяет использовать закрытый ключ даже после закрытия криптографического контекста. |
| − | + | ||
| − | + | Функционирование и хранение ключей СКЗИ «КриптоПро CSP». v 4.0 в «Службе хранения ключей» обеспечивает дополнительную защиту ключевой информации от других приложений, выполняющихся на ПЭВМ, но может незначительно замедлить производительность системы. | |
| − | Ключи находятся в кэше до завершения приложения или до выключения компьютера | + | |
| − | (остановки службы), что позволяет использовать закрытый ключ даже после закрытия | + | В случае необходимости проведения ремонтных и регламентных работ аппаратной части СКЗИ/СФК необходимо обеспечить невозможнос ть доступа нарушителя к ключевой информации, содержащейся в аппаратной части СКЗИ/СФК. Конкретный перечень мер должен быть определен исходя из условий эксплуатации СКЗИ. |
| − | криптографического контекста. | + | |
| − | Функционирование и хранение ключей СКЗИ «КриптоПро CSP». v 4.0 в «Службе | + | == Сроки действия пользовательских ключей == |
| − | хранения ключей» обеспечивает дополнительную защиту ключевой информации от других | + | При эксплуатации СКЗИ «КриптоПро CSP». v 4.0 должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов: |
| − | приложений, выполняющихся на ПЭВМ, но может незначительно замедлить производительность | + | |
| − | системы. | + | * максимальный срок действия закрытого ключа ЭП-256 (ключа ЭП) - 1 год 3 месяца; |
| − | В случае необходимости проведения ремонтных и регламентных работ аппаратной части | + | * максимальный срок действия закрытого ключа ЭП-512 (ключа ЭП) - 1 год 3 месяца; |
| − | СКЗИ/СФК необходимо обеспечить невозможнос ть доступа нарушителя к ключевой | + | * максимальный срок действия открытого ключа ЭП-256 (ключа проверки ЭП) - 15 лет; |
| − | информации, содержащейся в аппаратной части СКЗИ/СФК. Конкретный перечень мер должен | + | * максимальный срок действия открытого ключа ЭП-512 (ключа проверки ЭП) - 15 лет; |
| − | быть определен исходя из условий эксплуатации СКЗИ. | + | * максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. |
| − | + | ||
| − | При эксплуатации СКЗИ «КриптоПро CSP». v 4.0 должны соблюдаться следующие сроки | + | При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от настроек групповой политики возможны различные варианты использования этого ключа. |
| − | использования пользовательских закрытых ключей и сертификатов: | + | |
| − | + | Значение «0» групповой политики не накладывает никаких ограничений на использование ключа; | |
| − | + | ||
| − | + | Значение «1» групповой политики запрещает формирование ЭП и шифрование в контексте этого ключа (возможно расшифрованные ранее зашифрованных сообщений); | |
| − | + | ||
| − | + | Значение «2» групповой политики запрещает любые действия с закрытым ключом. | |
| − | При формировании закрытого ключа в контейнер записывается дата истечения срока | + | |
| − | действия этого ключа, по истечении которого в зависимости от настроек групповой политики | + | Срок действия ключа берется из (в порядке уменьшения приоритета): |
| − | возможны различные варианты использования этого ключа. | + | |
| − | Значение «0» групповой политики не накладывает никаких ограничений на | + | * Расширения контейнера ключа; |
| − | использование ключа; | + | * Расширения сертификата ключа; |
| − | Значение «1» групповой политики запрещает формирование ЭП и шифрование в | + | * Даты создания ключа + 1 год 3 месяца. |
| − | контексте этого ключа (возможно расшифрованные ранее зашифрованных сообщений) ; | + | |
| − | Значение «2» групповой политики запрещает любые действия с закрытым ключом. | + | Для операционных систем группы Windows выставить необходимое значение групповой политики можно в Редакторе локальной групповой политики (Выполнить -> gpedit.msc), в разделе «Классические административные шаблоны (ADM)». Для ключей алгоритма ГОСТ Р 34.10-2001 необходимо изменить значение ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2001. |
| − | + | ||
| − | + | Выставление значения «0» для ключей алгоритма ГОСТ Р 34.10-2001 не допускается. | |
| − | + | ||
| − | Срок действия ключа берется из (в порядке уменьшения приоритета): | + | Для ключей алгоритма ГОСТ Р 34.10-2012 как для коротких (256 бит), так и для длинных (512 бит) необходимо изменить значение ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2012. |
| − | + | ||
| − | + | Настройка СКЗИ для остальных ОС осуществляется с помощью утилиты | |
| − | + | ||
| − | Для операционных систем группы Windows выставить необходимое значение групповой | + | cpconfig с помощью команды cpconfig -policy -set ControlKeyTimeValidity2001(2012) -value <значение>. |
| − | политики можно в Редакторе локальной групповой политики (Выполнить -> gpedit.msc), в | + | |
| − | разделе «Классические административные шаблоны (ADM)». Для ключей алгоритма | + | ''При работе в режиме усиленного контроля использования ключей (режим обязателен к использованию, отключение может производиться только в целях тестирования) значение групповой политики контроля срока действия пользовательских ключей принимается равным «2».'' |
| − | ГОСТ Р 34.10-2001 необходимо изменить значение ключа реестра | + | |
| − | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2001. | + | == Уничтожение ключей на ключевых носителях == |
| − | Выставление значения «0» для ключей алгоритма ГОСТ Р 34.10-2001 не допускается. | + | Ключи на ключевых носителях (включая Touch Memory и смарт -карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации. |
| − | Для ключей алгоритма ГОСТ Р 34.10-2012 как для коротких (256 бит), так и для длинных | + | |
| − | (512 бит) необходимо изменить значение ключа реестра | + | Об уничтожении ключей делается соответствующая запись в «Журнале пользователя сети» (см. Ведение журналов п.8.11 9. Уничтожение ключей на ключевых носителях Ключи на ключевых носителях (включая Touch Memory и смарт -карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации. Об уничтожении ключей делается соответствующая запись в «Журнале пользователя сети» (см. Ведение журналов п.8.11). 6.10. Интерфейс управления ключами СКЗИ Последовательность действий при генерации закрытых ключей и ключей ЭП пользователей, управлении их паролями, управлении ключами определена в документе [https://ca.kontur.ru/Files/userfiles/file/Faq/cryptopro-license/%D0%96%D0%A2%D0%AF%D0%98_00087-01%2091%2001_%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%20%D0%9E%D0%B1%D1%89%D0%B0%D1%8F%20%D1%87%D0%B0%D1%81%D1%82%D1%8C.pdf «ЖТЯИ.00087-01 92 01. КриптоПро CSP. Инструкция по использованию СКЗИ под управлением ОС Windows»]). |
| − | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2012. | + | |
| − | Настройка СКЗИ для остальных ОС осуществляется с помощью утилиты cpconfig с | + | == Интерфейс управления ключами СКЗИ == |
| − | помощью команды | + | Последовательность действий при генерации закрытых ключей и ключей ЭП пользователей, управлении их паролями, управлении ключами определена в документе «ЖТЯИ.00087-01 92 01. КриптоПро CSP. Инструкция по использованию СКЗИ под управлением ОС Windows». |
| − | cpconfig -policy -set ControlKeyTimeValidity2001(2012) -value <значение>. | ||
| − | |||
| − | При работе в режиме усиленного контроля использования ключей (режим обязателен к | ||
| − | использованию, отключение может производиться только в целях тестирования) значение | ||
| − | групповой политики контроля срока действия пользовательских ключей принимается равным | ||
| − | |||
| − | |||
| − | Ключи на ключевых носителях (включая Touch Memory и смарт -карты), срок действия | ||
| − | которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО | ||
| − | СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой | ||
| − | информации. | ||
| − | Об уничтожении ключей делается соответствующая запись в «Журнале пользователя | ||
| − | сети» (см. Ведение журналов п.8.11). | ||
| − | 6.10. Интерфейс управления ключами СКЗИ | ||
| − | Последовательность действий при генерации закрытых ключей и ключей ЭП | ||
| − | пользователей, управлении их паролями, управлении ключами определена в документе | ||
| − | «ЖТЯИ.00087-01 92 01. КриптоПро CSP. Инструкция по использованию СКЗИ под управлением | ||
| − | ОС Windows». | ||
Текущая версия на 21:08, 5 апреля 2022
Текст приведен согласно документу ЖТЯИ 00087-01 91 01 Руководство администратора безопасности
Общие положения СКЗИ
СКЗИ «КриптоПро CSP» v 4.0 является системой с открытым распределением ключей на основе асимметричной криптографии с использованием закрытого ключа на одной стороне и соответствующего ему открытого ключа информационного взаимодействия на другой стороне.
Пользователь, обладающий правом подписи и/или шифрования данных, вырабатывает на своем рабочем месте или получает у администратора безопасности (в зависимости от принятой политики безопасности) личные закрытый ключ (ключ ЭП) и открытый ключ (ключ проверки ЭП). На основе каждого открытого ключа (ключа проверки ЭП) Удостоверяющим Центром формируется сертификат открытого ключа (сертификат ключа проверки ЭП).
Шифрование данных При зашифровании сообщения пользователем
A для пользователя Б, пользователь А формирует симметричный ключ связи (сеансовый ключ информационного обмена) на основе своего закрытого ключа обмена и открытого ключа обмена пользователя Б. Соответственно, для расшифрования этого сообщения пользователем Б формируется тот же симметричный ключ на основе своего закрытого ключа обмена и открытого ключа обмена пользователя А.
Таким образом, для обмена данными каждому пользователю необходимо иметь:
- личный закрытый ключ обмена;
- открытые ключи обмена других пользователей.
Сеансовый ключ информационного обмена вырабатывается на основе алгоритма ДиффиХеллмана. Алгоритм Диффи-Хеллмана обеспечивает формирование сеансовых ключей, но не обеспечивает аутентификацию связывающихся сторон. Поэтому данный алгоритм должен использоваться совместно с протоколами аутентификации, в частности, с протоколом «КриптоПро IKE».
Формирование и проверка ЭП
Для формирования электронной подписи используется ключ электронной подписи, для проверки – соответствующий ключ проверки электронной подписи. Проверяющий должен быть полностью уверен в принадлежности ключа проверки ЭП конкретному пользователю. Для этой цели используется сертификат ключа проверки ЭП, подписанный Удостоверяющим Центром.
Каждому пользователю, обладающему правом подписи, необходимо иметь:
- ключ электронной подписи;
- ключи проверки электронной подписи (сертификаты ключей проверки электронной подписи) других пользователей.
Ключ электронной подписи может быть использован только для формирования ЭП.
Закрытый ключ обмена может быть использован как для формирования ключа связи с другим пользователем, так и для формирования ЭП.
Ключевой контейнер
Закрытые ключи СКЗИ «КриптоПро CSP» v 4.0 хранятся в ключевом контейнере, который может содержать в себе:
- только ключ подписи;
- только ключ обмена;
- ключ подписи и ключ обмена одновременно.
Единственный ключ ключевого контейнера (ключ подписи или ключ обмена) называется первичным ключом. Если в контейнере два ключа, то первый ключ - ключ подписи - называется первичным, второй ключ – ключ обмена - вторичным.
Ключевой контейнер содержит кроме ключей служебную информацию, необходимую для обеспечения криптографической защиты ключей, их целостности и т.п.
Каждый ключевой контейнер (независимо от типа носителя), является самодостаточным и содержит всю необходимую информацию для работы как с самим контейнером, так и с закрытыми (и соответствующими им открытыми) ключами.
На ключевом носителе ключи хранятся в формате ключевого контейнера.
Формат ключевого контейнера
Ключевой контейнер содержит следующую информацию:
- первичный ключ;
- маски первичного ключа;
- контрольную информацию первичного ключа;
- вторичный ключ (опциональный);
- резервную копию ключевого контейнера.
Каждый закрытЗаглавная страницаый ключ хранится в формате, дополнительно содержащем все константы, необходимые для формирования и экспорта открытого ключа.
Формат ключевого контейнера обеспечивает чтение ключей и соответствующих масок отдельными операциями в раздельные (разнесенные по адресам) области памяти, для чего он содержит шесть зон (реализация зон зависит от типа ключевого носителя).
Ключевой контейнер содержит также дополнительную информацию, необходимую для обеспечения его восстановления при возникновении различных программно-аппаратных сбоев (дополнительная информация включается в тех случаях, когда размер ключевого контейнера не ограничен размерами памяти физического носителя).
Для использования ключевого контейнера только на одном определенном ПК (например, для привязки токена к ПК), возможно этот контейнер зашифровать на другом контейнере, хранящимся на этом ПК (желательно не экспортируемом).
Формирование ключей
Формирование ключей пользователя производится с использованием функции CPGenKey (см. ЖТЯИ.00087-01 96 01 «КриптоПро CSP. v 4.0 Руководство программиста») и спецификацией типа формируемого ключа: AT_KEYEXCHANGE. AT_SIGNATURE, AT_UECSYMMETRICKEY.
Формирование ключей возможно, если:
1. контекст криптопровайдера «КриптоПро CSP» открыт функцией CPAcquireContext с флагом CRYPT_NEWKEYSET и несуществующим именем ключевого контейнера, специфицированным параметром pszContainer;
2. контекст криптопровайдера «КриптоПро CSP» открыт функцией CPAcquireContext с указанием ранее созданного ключевого контейнера, специфицированного параметром pszContainer.
1. Для исполнения 1-Base закрытые ключи ЭП и обмена формируются с использованием ПДСЧ с инициализацией его от БиоДСЧ или от внешней гаммы.
2. При использовании считывателей смарт-карт или устройств чтения таблеток Touch-Memory DALLAS необходимо проведение проверки настройки используемых ими портов ПЭВМ в BIOS и ОС.
3. Перед использованием процессорные карты должны быть «выпущены» с использованием транспортного пин-кода и ПО выпуска карт (поставляются дистрибутором карт)
4. При использовании НГМД в качестве ключевого носителя во избежание потери ключевой информации рекомендуется хранить ее копию.
Ключевые носители
В качестве ключевых носителей используются:
- ГМД 3,5’’, USB диски;
- Смарткарты GEMALTO (GemSim1, GemSim2, Optelio, OptelioCL, OptelioCL2, Native) ;
- eToken, Jacarta;
- USB-токены Рутокен ЭЦП (Flash, Bluetooth), Рутокен Lite Novacard;
- Смарткарты Рутокен Lite SC, Рутокен ЭЦП SC;
- Rutoken S;
- Смарткарты РИК (ОСКАР 1, ОСКАР 2, Магистра, TRUST, TRUSTS, TRUSTD);
- Смарткарта УЭК;
- Смарткарта MS_KEY K;
- ESMART Token;
- Смарткарты Athena IDProtect, MorphoKST, Cha cardOS, Cha JCOP;
- Смарткарты Алиот INPASPOT Series, SCOne Series;
- Раздел HDD ПЭВМ (в Windows - реестр);
- Идентификаторы Touch-Memory DS1995, DS1996.
Использование ключевых носителей в зависимости от программно-аппаратной платформы отражено в ЖТЯИ.00087-01 30 01. СКЗИ «КриптоПро CSP 4.0». Формуляр, п. 3.8.
1. В состав дистрибутива СКЗИ входят библиотеки поддержки всех перечисленных носителей, но не входят драйверы для ОС. По вопросам получения драйверов необходимо обращаться к производителям соответствующих устройств.
2. Хранение закрытых ключей на HDD ПЭВМ и USB дисках (в реестре ОС Windows, в разделе HDD при работе под управлением других ОС) допускается только при условии распространения на HDD, USB диск или на ПЭВМ с HDD требований по обращению с ключевыми носителями (п.6.7 ЖТЯИ.00087-01 91 01. Руководство администратора безопасности общая часть).
3. Все вышеперечисленные носители используются только в качестве пассивного хранилища ключевой информации без использования криптографических механизмов, реализованных на смарт-карте/токене.
4. Использование носителей других типов - только по согласованию с ФСБ России.
Размеры ключей
Длины ключей электронной подписи:
ключ электронной подписи 256 или 512 бит;
ключ проверки электронной подписи 512 или 1024 бит.
Длины ключей, используемых при шифровании:
закрытый ключ 256 бит или 512 бит;
открытый ключ 512 бит или 1024 бита;
симметричный ключ 256 бит.
Хранение ключевых носителей
При хранении ключей необходимо обеспечить невозможность доступа к ключевым носителям не допущенных к ним лиц. Пользователь несет персональную ответственность за хранение личных ключевых носителей.
Запрещается оставлять без контроля вычислительные средства с установленным СКЗИ после ввода ключевой информации.
В случае централизованного хранения ключевых носителей в организации, эксплуатирующей СКЗИ, администратор безопасности (если он имеется) несет персональную ответственность за хранение личных ключевых носителей пользователей.
При хранении ключей в реестре Windows и на HDD ПЭВМ требования по хранению личных ключевых носителей распространяются на ПЭВМ (HDD ПЭВМ) (в том числе и пос ле удаления ключей из реестра, из HDD).
В случае невозможности отчуждения ключевого носителя с ключевой информацией от ПЭВМ организационно-техническими мероприятиями должен быть исключен доступ нарушителей к ПЭВМ с ключами.
При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту.
СКЗИ может функционировать и хранить ключевую информацию в двух режимах:
- в памяти приложения;
- в «Службе хранения ключей», реализованной в виде системного сервиса.
Ключи находятся в кэше до завершения приложения или до выключения компьютера (остановки службы), что позволяет использовать закрытый ключ даже после закрытия криптографического контекста.
Функционирование и хранение ключей СКЗИ «КриптоПро CSP». v 4.0 в «Службе хранения ключей» обеспечивает дополнительную защиту ключевой информации от других приложений, выполняющихся на ПЭВМ, но может незначительно замедлить производительность системы.
В случае необходимости проведения ремонтных и регламентных работ аппаратной части СКЗИ/СФК необходимо обеспечить невозможнос ть доступа нарушителя к ключевой информации, содержащейся в аппаратной части СКЗИ/СФК. Конкретный перечень мер должен быть определен исходя из условий эксплуатации СКЗИ.
Сроки действия пользовательских ключей
При эксплуатации СКЗИ «КриптоПро CSP». v 4.0 должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов:
- максимальный срок действия закрытого ключа ЭП-256 (ключа ЭП) - 1 год 3 месяца;
- максимальный срок действия закрытого ключа ЭП-512 (ключа ЭП) - 1 год 3 месяца;
- максимальный срок действия открытого ключа ЭП-256 (ключа проверки ЭП) - 15 лет;
- максимальный срок действия открытого ключа ЭП-512 (ключа проверки ЭП) - 15 лет;
- максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца.
При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от настроек групповой политики возможны различные варианты использования этого ключа.
Значение «0» групповой политики не накладывает никаких ограничений на использование ключа;
Значение «1» групповой политики запрещает формирование ЭП и шифрование в контексте этого ключа (возможно расшифрованные ранее зашифрованных сообщений);
Значение «2» групповой политики запрещает любые действия с закрытым ключом.
Срок действия ключа берется из (в порядке уменьшения приоритета):
- Расширения контейнера ключа;
- Расширения сертификата ключа;
- Даты создания ключа + 1 год 3 месяца.
Для операционных систем группы Windows выставить необходимое значение групповой политики можно в Редакторе локальной групповой политики (Выполнить -> gpedit.msc), в разделе «Классические административные шаблоны (ADM)». Для ключей алгоритма ГОСТ Р 34.10-2001 необходимо изменить значение ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2001.
Выставление значения «0» для ключей алгоритма ГОСТ Р 34.10-2001 не допускается.
Для ключей алгоритма ГОСТ Р 34.10-2012 как для коротких (256 бит), так и для длинных (512 бит) необходимо изменить значение ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CSP\ControlKeyTimeValidity2012.
Настройка СКЗИ для остальных ОС осуществляется с помощью утилиты
cpconfig с помощью команды cpconfig -policy -set ControlKeyTimeValidity2001(2012) -value <значение>.
При работе в режиме усиленного контроля использования ключей (режим обязателен к использованию, отключение может производиться только в целях тестирования) значение групповой политики контроля срока действия пользовательских ключей принимается равным «2».
Уничтожение ключей на ключевых носителях
Ключи на ключевых носителях (включая Touch Memory и смарт -карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации.
Об уничтожении ключей делается соответствующая запись в «Журнале пользователя сети» (см. Ведение журналов п.8.11 9. Уничтожение ключей на ключевых носителях Ключи на ключевых носителях (включая Touch Memory и смарт -карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации. Об уничтожении ключей делается соответствующая запись в «Журнале пользователя сети» (см. Ведение журналов п.8.11). 6.10. Интерфейс управления ключами СКЗИ Последовательность действий при генерации закрытых ключей и ключей ЭП пользователей, управлении их паролями, управлении ключами определена в документе «ЖТЯИ.00087-01 92 01. КриптоПро CSP. Инструкция по использованию СКЗИ под управлением ОС Windows»).
Интерфейс управления ключами СКЗИ
Последовательность действий при генерации закрытых ключей и ключей ЭП пользователей, управлении их паролями, управлении ключами определена в документе «ЖТЯИ.00087-01 92 01. КриптоПро CSP. Инструкция по использованию СКЗИ под управлением ОС Windows».