ЛР8 Удостоверяющий центр КриптоПро УЦ (1027389), страница 2
Текст из файла (страница 2)
Дополнительный компонент, предназначенный для сбора информации о действиях, совершенных на Удостоверяющем центре в определенный период, и автоматического составления отчетов об этих действиях.
Включает в себя:
-
КриптоПро УЦ. Сервер отчетов ЦР;
-
КриптоПро УЦ. АРМ генерации отчетов ЦР.
"КриптоПро УЦ. Сервер отчетов ЦР" предназначен для работы с базой данных Центра Регистрации, сбора и обработки запрашиваемой АРМ генерации отчетов ЦР информации.
"КриптоПро УЦ. АРМ генерации отчетов ЦР" предоставляет удобный интерфейс для выполнения полного спектра действий по созданию различного вида отчетов и их дальнейшей обработке с целью публикации или архивного хранения.
Кроме тех видов отчетов, которые устанавливаются в программном комплексе по умолчанию, существует возможность создавать свои собственные варианты отчетов.
ПК "Регламентные задания"
Дополнительный компонент, предназначенный для выполнения задания переноса и публикации списков отозванных сертификатов (далее Задание переноса СОС) и задания рассылки писем-уведомлений об ошибках в работе.
Задание переноса СОС:
-
копирует список отозванных сертификатов с заданного адреса в локальную или сетевую папку;
-
устанавливает его в хранилище локального компьютера "Промежуточные Центры Сертификации" - "Список отзыва сертификатов";
-
при необходимости может опубликовать СОС в Active Directory.
Таким образом, Задание переноса СОС, помимо непосредственного переноса СОС, может использоваться для публикации СОС в Active Directory, либо для установки списков отзыва на сервер, где требуется, чтобы СОС был установлен в хранилище локального компьютера (например, для TSP-сервера или OCSP-сервера).
Если при работе Задания переноса СОС возникают ошибки, можно настроить рассылку уведомлений об этом по указанным адресам e-mail. Непосредственно рассылкой писем занимается Задание для рассылки сообщений, которое по умолчанию входит в пакет заданий вместе с Заданием переноса СОС.
Утилита автономного формирования и использования ключей пользователя УЦ
Данный программный компонент представляет собой приложение командной строки (cryptcp.exe) для работы с сертификатами, шифрования/расшифрования данных, создания/проверки цифровых подписей и хеширования данных, генерации ключей и создания запросов на сертификаты открытых ключей.
Лицензирование КриптоПро УЦ
Установка и эксплуатация компонентов ПАК «КриптоПро УЦ» должна производиться на основании лицензий, выданных производителем или поставщиком продукта.
В ПАК «КриптоПро УЦ» имеется два вида лицензий на компоненты:
-
лицензия на стандартную версию продукта (стандартная лицензия);
-
лицензия на расширенную версию продукта (расширенная лицензия).
Стандартная лицензия предоставляет право установки и эксплуатации одной копии продукта в соответствии с указанными в ней ограничениями без права изменения отдельных параметров конфигурации программного обеспечения компонента, определенного производителем по умолчанию.
Расширенная лицензия предоставляет право установки и эксплуатации одной копии компонента продукта в соответствии с указанными в ней ограничениями с правом изменения параметров конфигурации программного обеспечения компонента, определенного производителем по умолчанию.
Для рабочих мест пользователей УЦ не требуется наличие лицензий ПАК «КриптоПро УЦ». Они должны обеспечиваться лицензиями СКЗИ КриптоПро CSP, не входящими в состав ПАК «КриптоПро УЦ».
Лицензия Центра Сертификации
Параметры конфигурации, запрещаемые для изменения в стандартной лицензии:
-
Параметры модуля политики КриптоПро УЦ;
-
Параметры модуля выхода КриптоПро УЦ.
Ограничения лицензии:
-
Наименование организации;
-
Количество пользователей УЦ, являющихся владельцами сертификатов открытых ключей, изданных данным Центром Сертификации;
-
Срок действия лицензии.
Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией Центра Сертификации для ознакомления стандартную лицензию сроком действия 1 (один) месяц до 100 (ста) пользователей.
Учет зарегистрированных пользователей осуществляется на Центре Сертификации ПАК «КриптоПро УЦ». Счетчик зарегистрированных пользователей увеличивается на единицу только в случае одновременного выполнения следующих условий:
-
При изготовлении сертификата открытого ключа идентификационные данные пользователя, для которого изготавливается сертификат, отличны от идентификационных данных пользователей, для которых уже были изготовлены сертификаты;
-
При изготовлении сертификата открытого ключа запрос на изготовление сертификата открытого ключа не содержит область использования - «Временный доступ к Центру Регистрации» (OID 1.2.643.2.2.34.2).
Удаление пользователя средствами АРМ администратора Центра Регистрации влечет удаление соответствующей учетной записи только в базе данных Центра Регистрации. Соответственно, на Центре Сертификации значение счетчика зарегистрированных пользователей остается прежним и не уменьшается.
При необходимости зарегистрировать нового пользователя и изготовить для него сертификат открытого ключа для проведения тестов (зарегистрировать тестового пользователя), в данный сертификат в расширение «Улучшенный ключ» (Extended Key Usage) потребуется занести область использования «Временный доступ к Центру Регистрации» (OID 1.2.643.2.2.34.2) в дополнение к необходимым для выполнения тестовых задач областям. Счетчик зарегистрированных пользователей в данном случае не увеличится.
Лицензия Центра Регистрации
Параметры конфигурации, запрещаемые для изменения в стандартной лицензии:
-
Политики обработки подписанных и неподписанных запросов;
-
Политика имен;
-
Системные роли;
-
Шаблоны писем;
-
Параметры модуля экспорта сертификатов;
-
Параметры доступа к методам на вкладке Безопасность;
-
Параметры регламентных заданий;
-
Параметры веб-интерфейса.
Ограничения лицензии:
-
Наименование организации;
-
Срок действия лицензии.
Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией Центра Регистрации для ознакомления стандартную лицензию сроком действия 1 (один) месяц.
Лицензия АРМ администратора Центра Регистрации
Для указанного компонента существуют только расширенные лицензии с возможным ограничением по времени.
Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией АРМ администратора Центра Регистрации для ознакомления лицензию сроком действия 1 (один) месяц.
Лицензия АРМ разбора конфликтных ситуаций
Для указанного компонента существуют только расширенные лицензии ч возможным ограничением по времени.
Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией АРМ разбора конфликтных ситуаций для ознакомления лицензию сроком действия 1 (один) месяц.
Использование КриптоПро УЦ с ПАКМ «Атликс HSM» (класс защиты KB2)
Атликс HSM - аппаратный криптографический модуль (hardware security module), совместимый с КриптоПро CSP.
Атликс HSM в первую очередь предназначен для обеспечения безопасного хранения и использования закрытого ключа уполномоченного лица удостоверяющего центра, что обеспечивается выполнением всех криптографических операций, в том числе по генерации ключа уполномоченного лица в криптомодуле. Защита ключа уполномоченного лица удостоверяющего центра обеспечивается в том числе с использованием "раздельных секретов", то есть для активизации закрытого ключа одновременно необходимы три из пяти дополнительных закрытых ключей, хранящихся на процессорных картах РИК (российская интеллектуальная карта). Кроме этого, взаимодействие центра сертификации с криптомодулем возможно только после двусторонней криптографической аутентификации.
Использование ПАКМ совместно с КриптоПро УЦ или Microsoft CA значительно повышает их уровень безопасности.
Криптографические алгоритмы, реализуемые криптомодулем Атликс HSM:
-
генерация ключей, используемых в алгоритмах ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001;
-
шифрование/расшифрование данных по ГОСТ 28147-89;
-
контроль целостности данных посредством вычисления имитовставки по ГОСТ 28147-89;
-
вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11-94;
-
вычисление и проверку электронной цифровой подписи (ЭЦП) в соответствии с ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001.
-
выработка ключа парной связи по Диффи-Хеллману на базе ключей по алгоритмам ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001.
Интерфейс взаимодействия с Атликс HSM - Microsoft CryptoAPI 2.0.
Сроки действия ключей, при использовании криптомодуля Атликс HSM:
-
максимальный срок действия закрытых ключей ЭЦП - 5 лет;
-
максимальный срок действия открытых ключей ЭЦП при использовании алгоритма ГОСТ Р 34.10-2001 - 30 лет.
КриптоПро HSM
- программно-аппаратный криптографический модуль (hardware security module), совместимый сКриптоПро CSP.
ПАКМ «КриптоПро HSM» предоставляет криптографический сервис пользователям корпоративной сети и предназначен для выполнения следующих функций:
-
создание и проверка электронной цифровой подписи;
-
вычисление хэш-функции;
-
шифрование и расшифрование блоков данных;
-
вычисление имитовставки блоков данных;
-
генерация и защищенное хранение ключевой информации (все ключи хранятся в зашифрованном виде);
-
управление учетными записями пользователей криптографического сервиса.
Использование ПАКМ совместно с КриптоПро УЦ или Microsoft CA значительно повышает их уровень безопасности.
Криптографические алгоритмы, реализуемые ПАКМ КриптоПро HSM:
-
генерация ключей, используемых в алгоритмах ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, RSA;
-
шифрование и расшифрование данных по ГОСТ 28147-89;
-
контроль целостности данных посредством вычисления имитовставки по ГОСТ 28147-89;
-
вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11-94;
-
вычисление и проверку электронной цифровой подписи (ЭЦП) в соответствии с ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, RSA;
-
выработка ключа парной связи по Диффи-Хеллману на базе ключей по алгоритмам ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001.
Интерфейс взаимодействия с КриптоПро HSM - Microsoft CryptoAPI 2.0.
Сроки действия ключей, при использовании ПАКМ КриптоПро HSM
-
максимальный срок действия закрытых ключей ЭЦП - до 3-х лет;
-
максимальный срок действия закрытых ключей ЭЦП при использовании ПАКМ в качестве СКЗИ в программных комплексах удостоверяющих центров, реализованных и сертифицированных по классу защиты KB2 - до 7-и лет;
-
максимальный срок действия открытых ключей ЭЦП при использовании алгоритма ГОСТ Р 34.10-2001 - 30 лет;
-
максимальный срок действия открытых ключей обмена – до 3-x лет;
-
максимальный срок действия закрытого ключа обмена совпадает со сроком действия закрытого ключа.
Области применения
ПАКМ «КриптоПро HSM» может быть использован в качестве СКЗИ в различных системах криптографической защиты информации, поддерживающих интерфейс КриптоПро CSP версии 3.6 и выше.
-
в серверных компонентах распределенных систем, требующих высокую степень защиты ключа ЭЦП, например в программно-аппаратных комплексах Удостоверяющих центров;
-
в дополнительных службах удостоверяющих центров:
-
в службах штампов времени;
-
в службах актуальных статусов сертификатов;
-
в службах электронного нотариата;
-
В сетях передачи конфиденциальной информации для реализации протокола TLS:
-
в web-серверах;
-
в серверах баз данных;
-
в серверах приложений;
В этих случаях ПАКМ «КриптоПро HSM» позволяет обеспечить более надежный уровень защиты ключа TSL сервера и выполнять трудоемкие операции по шифрованию и расшифрованию передаваемых по сети данных
-
в персональных (не серверных) системах, где требуется высокий уровень защиты ключевой информации.
Варианты исполнения
| Параметр устройства | Варианты исполнения ПАКМ «КриптоПро HSM» | |
| Вариант 1 | Вариант 2 | |
| Процессор (64 разр.) | 2 x Xeon E5630 | 1 x Core2Duo |
| Количество ядер (всего) | 16 | 2 |
| Размер (высота/длина). | 2U/72 см | 2U/48 см |
| Сетевые интерфейсы | 3 шт. (оптика) | 2 шт. (оптика) |
| Максимальное количество пользователей (ключевых контейнеров) | 10000 | 1500 |
| Максимальное количество одновременно работающих пользователей (сессий) | 1500 | 1000 |
| Максимальное производительность (ЭЦП/сек. ) | 15000 | 1500 |
| Блок питания | сдвоенный с горячей заменой | простой |
Комплектация
ПАКМ «КриптоПро HSM» предполагает различные варианты комплектации, включающие автономные СКЗИ по различным уровням защиты:
-
Комплектация ПАКМ «КриптоПро HSM»
-
Комплектация «КриптоПро HSM Client»
-
Комплектация «КриптоПро HSM Client A»
Компонент «КриптоПро HSM Client» является ответной частью, устанавливаемой на рабочие станции и серверы, необходимой для трансляции криптографических вызовов к ПАКМ «КриптоПро HSM» по безопасным каналам «К», «K2».
Компонент «КриптоПро HSM Client A» является автономным СКЗИ, устанавливаемым на рабочие станции и серверы, самостоятельно осуществляющим криптографические операции. Модули «КриптоПро HSM Client A» аналогичны модулям «КриптоПро HSM Client», используемым для криптографической защиты передаваемой по каналам «К2» информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
