Применение технологий Х.509 для криптографической защиты информации в автоматизированных системах банков

Содержание

Слайд 2

Национальный банк Украины

Национальный банк Украины активно строит межбанковскую инфраструктуру открытых ключей:
Создание Удостоверяющего

Национальный банк Украины Национальный банк Украины активно строит межбанковскую инфраструктуру открытых ключей:
центра НБУ для регистрации/аккредитации ЦСК Банков
Разработка организационно - технических нормативных документов, регламентирующих работу ЦСК Банков

Слайд 3

Требования НБУ. Постановление № 284 от 17.06.2010

«Положення про центри сертифікації ключів

Требования НБУ. Постановление № 284 от 17.06.2010 «Положення про центри сертифікації ключів
банків України», пункт 2.1:
2.1. Банки та їх клієнти мають право отримувати послуги ЕЦП для банківських операцій та електронного документообігу в банківській системі від:
власного Центру, … зареєстрованого/акредитованого в Засвідчувальному центрі (ЗЦ);
Центру іншого банку, зареєстрованого/акредитованого в ЗЦ …
Центру, що є окремою юридичною особою, який зареєстрований/ акредитований в ЗЦ … .

Слайд 4

Требования НБУ. Постановление № 284 от 17.06.2010

«Положення про центри сертифікації ключів

Требования НБУ. Постановление № 284 от 17.06.2010 «Положення про центри сертифікації ключів
банків України», пункт 2.11:
2.11. Центр має право надавати послуги електронного цифрового підпису після проведення його реєстрації/акредитації в Засвідчувальному центрі в порядку, визначеному нормативно-правовими актами Національного банку України щодо правил реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків у Засвідчувальному центрі.

Слайд 5

СКЗИ «ШИФР-X.509»

СКЗИ «ШИФР-X.509»

Слайд 6

Назначение системы

Система криптографической защиты информации «Шифр-Х.509» предназначена для управления персональными ключами и

Назначение системы Система криптографической защиты информации «Шифр-Х.509» предназначена для управления персональными ключами
сертификатами электронной цифровой подписи, обмена ключами и шифрования информации, согласно стандарта Х.509

Слайд 7

Криптографическое ядро

Программное изделие «Шифр+»* (библиотеки криптографических преобразований Win32, Java)

* Имеется экспертное заключение

Криптографическое ядро Программное изделие «Шифр+»* (библиотеки криптографических преобразований Win32, Java) * Имеется экспертное заключение ДСТСЗИ Украины
ДСТСЗИ Украины

Слайд 8

Криптографические алгоритмы

Электронная цифровая подпись –
ДСТУ 4145-2002
Шифрование и имитозащита данных –

Криптографические алгоритмы Электронная цифровая подпись – ДСТУ 4145-2002 Шифрование и имитозащита данных
ДСТУ ГОСТ 28147:2009
Выработка хэш-функции данных –
ГОСТ 34311-95
Управление ключами шифрования данных (протокол Диффи-Хелмана) –
ДСТУ ISO/IEC 15946:2006

Слайд 9

СООТВЕТСТВИЕ НОРМАТИВНЫМ ТРЕБОВАНИЯМ

СООТВЕТСТВИЕ НОРМАТИВНЫМ ТРЕБОВАНИЯМ

Слайд 10

Стандарты и документы

Стандарты и документы

Слайд 11

Стандарты и документы

Ведутся работы по реализации технических спецификаций, указанных в проекте

Стандарты и документы Ведутся работы по реализации технических спецификаций, указанных в проекте
приказа «Об утверждении технических спецификаций форматов представления базовых объектов национальной системы электронной цифровой подписи»

Слайд 12

Нормативные документы

Закон Украины «Об электронной цифровой подписи» от 22 мая 2003 г. № 852-IV.
Закон

Нормативные документы Закон Украины «Об электронной цифровой подписи» от 22 мая 2003
Украины «Об электронном документе и электронном документообороте» от 22 мая 2003 г. № 851-IV.
«О порядке разработки, производства и эксплуатации средств криптографической защиты конфиденциальной информации и открытой информации с использованием электронной цифровой подписи», утвержден приказом ГСССЗИ Украины от 20 июля 2007 г. № 141.
«Национальная система электронной цифровой подписи. Технические спецификации представления базовых объектов», утвержден совместным приказом ДСТСЗИ СБ Украины и Государственного департамента по вопросам связи и информатизации Министерства транспорта и связи Украины от 11.09.2006 г. № 99/166.
Проект совместного приказа Министерства юстиции Украины и ГСССЗИ Украины «Об утверждении технических спецификаций форматов представления базовых объектов национальной системы электронной цифровой подписи».

Слайд 13

Нормативные документы

«Правила усиленной сертификации», документ утвержден приказом ДСТСЗИ СБ Украины от 10.05.2006

Нормативные документы «Правила усиленной сертификации», документ утвержден приказом ДСТСЗИ СБ Украины от
г. № 50.
«Инструкция о порядке поставки и использования ключей к средствам криптографической защиты информации, которые реализуют криптографический алгоритм, определенный ГОСТ 28147-89», документ утверждён приказом ГСССЗИ Украины от 12.06.2007 г. №114.
«Порядок аккредитации центра сертификации ключей», документ утвержден постановлением Кабинета Министров Украины от 13.07.2004 г №903.
«Порядок применения электронной цифровой подписи органами государственной власти, органами местного самоуправления, предприятиями, учреждениями и организациями государственной формы собственности», документ утвержден постановлением Кабинета Министров Украины от 28.11.2004 г №1452.
«Положення про центри сертифікації ключів банків України», затвердженого постановою Правління Національного банку України 17.06.2010 №284.
«Правила реєстрації, засвідчення чинності відкритого ключа та акредитації центрів сертифікації ключів банків України в Засвідчувальному центрі Національного банку України», затверджені постановою Правління Національного банку України 17.06.2010 №284.

Слайд 14

Соответствие нормативным документам

Средства Центра сертификации ключей СКЗИ «Шифр-X.509» полностью удовлетворяет требованиям, которые

Соответствие нормативным документам Средства Центра сертификации ключей СКЗИ «Шифр-X.509» полностью удовлетворяет требованиям,
предъявляются к аккредитованным ЦСК

Слайд 15

ОСОБЕННОСТИ ПОСТРОЕНИЯ

СКЗИ «Шифр-X.509»

ОСОБЕННОСТИ ПОСТРОЕНИЯ СКЗИ «Шифр-X.509»

Слайд 16

Архитектура

Архитектура

Слайд 17

Состав ЦСК

Программное обеспечение сертификации
АРМ Администратора безопасности ЦСК
АРМ Администратора сертификации ЦСК
Сервер приложений

Состав ЦСК Программное обеспечение сертификации АРМ Администратора безопасности ЦСК АРМ Администратора сертификации
ЦСК
База данных ЦСК

Слайд 18

Состав ЦСК

Службы
АРМ Системного администратора*
LDAP-сервер ЦСК
OCSP-сервер
TSP-сервер
Почтовый сервер

Состав ЦСК Службы АРМ Системного администратора* LDAP-сервер ЦСК OCSP-сервер TSP-сервер Почтовый сервер

Слайд 19

Состав ЦСК

Центр регистрации
АРМ Администратора регистрации
АРМ Регистратора
Модуль генерации ключей
Коммуникационный сервер
Call-центр (центр приема звонков)
АРМ

Состав ЦСК Центр регистрации АРМ Администратора регистрации АРМ Регистратора Модуль генерации ключей
оператора Call-центра

Слайд 20

Состав клиентских средств

Библиотеки криптографических функций
Библиотека для Win32 (dll)
Библиотека для Java (classes)
Библиотека GSS-API

Состав клиентских средств Библиотеки криптографических функций Библиотека для Win32 (dll) Библиотека для
для Win32 (dll)
Модуль управления ключами

Слайд 21

Ключевые носители

Файловый контейнер
Аппаратные носители, поддерживающие PKCS#11*
Автор USB Token (SLE44C42S, SLE44C160S, SLE66C42P, SLE66C82P,

Ключевые носители Файловый контейнер Аппаратные носители, поддерживающие PKCS#11* Автор USB Token (SLE44C42S,
SLE66C161PE)
SafeNet USB eToken 5100
Giesecke & Devrient StarSign Crypto USB Token, Smart Card
*Пассивный режим

Слайд 22

Ключевые носители

Аппаратные носители, поддерживающие PKCS#11*
Автор (SLE44C42S, SLE44C160S, SLE66C42P, SLE66C82P, SLE66C161PE)
SafeNet eToken 5100

Ключевые носители Аппаратные носители, поддерживающие PKCS#11* Автор (SLE44C42S, SLE44C160S, SLE66C42P, SLE66C82P, SLE66C161PE)
(к осени 2012 г.)
Giesecke & Devrient StarSign Crypto USB Token (к осени 2012 г.)
*Активный режим (к осени 2012 г.)

Слайд 23

Топология системы

Топология системы

Слайд 24

ВОЗМОЖНОСТИ БИБЛИОТЕК КРИПТОГРАФИЧЕСКИХ ФУНКЦИЙ

ВОЗМОЖНОСТИ БИБЛИОТЕК КРИПТОГРАФИЧЕСКИХ ФУНКЦИЙ

Слайд 25

Криптографические преобразования

Традиционные функции:
Постановка и проверка электронной цифровой подписи
Выработка общего секрета (обмен ключами)
Зашифровывание

Криптографические преобразования Традиционные функции: Постановка и проверка электронной цифровой подписи Выработка общего
и расшифровывание данных

Слайд 26

Управление ключами

Смена ключей:
Генерация ключей, запись на носитель, формирование запроса на сертификат
Установление соединения

Управление ключами Смена ключей: Генерация ключей, запись на носитель, формирование запроса на
с LDAP- сервером, получение нового сертификата
Ввод в действие очередных ключей

Слайд 27

Расширенные возможности библиотек криптофункций

On-line контроль статуса
сертификата :
Формирование запроса о состоянии сертификата

Расширенные возможности библиотек криптофункций On-line контроль статуса сертификата : Формирование запроса о
на определенное время
Установление соединения с OCSP- сервером, передача запроса
Прием ответа от OCSP- сервера, проверка его аутентичности

Слайд 28

Расширенные возможности библиотек криптофункций

Работа с метками времени:
Формирование запроса на метку времени для

Расширенные возможности библиотек криптофункций Работа с метками времени: Формирование запроса на метку
данных
Установление соединения с TSP- сервером, передача запроса
Прием метки времени, проверка ее аутентичности

Слайд 29

Взаимодействие с ЦСК (1)

Взаимодействие с ЦСК (1)

Слайд 30

Взаимодействие с ЦСК (2)

Взаимодействие с ЦСК (2)

Слайд 31

Расширенные возможности библиотек криптофункций

Расширенные возможности библиотек криптофункций

Слайд 32

Производительность

Формирование ЭЦП

Разбор параметров сертификата
Проверка значений параметров (например полномочий)
Проверка статуса
Вычисление образа документа
Вычисление подписи
Формирование

Производительность Формирование ЭЦП Разбор параметров сертификата Проверка значений параметров (например полномочий) Проверка
метки-времени

Проверка ЭЦП

Загрузка сертификата из хранилища (LDAP, локально, БД)
Разбор параметров сертификата
Проверка значений параметров (например полномочий)
Проверка цепочки сертификатов (статус, полномочия, …)
Проверка статуса сертификата
Вычисление образа документа
Проверка подписи
Проверка метки времени

Слайд 33

Производительность

Производительность

Слайд 34

Носители. Критерии оценки

Стоимость
Качество изделия
Качество программного обеспечения
Наличие качественной поддержки и ее стоимость
Работа в

Носители. Критерии оценки Стоимость Качество изделия Качество программного обеспечения Наличие качественной поддержки
различных средах (Microsoft Terminal Server, Citrix XenApp Server)

Слайд 35

Поставка носителей

ООО «Сайфер ЛТД» является дистрибьютором защищенных носителей (поддерживающие PKCS#11) :
Автор USB

Поставка носителей ООО «Сайфер ЛТД» является дистрибьютором защищенных носителей (поддерживающие PKCS#11) :
Token, Smart Card, Card Reader
SafeNet USB eToken 5100
Giesecke & Devrient StarSign Crypto USB Token, Smart Card, Card Reader

Слайд 36

Поставка ПО к носителям

Управление защищенными носителями на клиентском рабочем месте
Автор –

Поставка ПО к носителям Управление защищенными носителями на клиентском рабочем месте Автор
драйвера, интерфейсные клиентские библиотеки (Drivers, Libraries)
SafeNet – Secure Authentication Client (полноценный комплекс управления - PKI Client, Drivers, Libraries)
Giesecke & Devrient (A.E.T. Flexible Security) - SafeSign Identity Client (полноценный комплекс управления - PKI Client, Drivers, Libraries)

* Предоставляется бесплатно, вместе с носителями

Слайд 37

ВЫГОДЫ ОТ ВНЕДРЕНИЯ

ВЫГОДЫ ОТ ВНЕДРЕНИЯ

Слайд 38

Перспективное решение

Универсальная и гибкая, позволяет обеспечивать криптографическую защиту во всех автоматизированных системах

Перспективное решение Универсальная и гибкая, позволяет обеспечивать криптографическую защиту во всех автоматизированных
банка, включая любые системы удаленного обслуживания клиентов
Поддерживает стандарт ЭЦП ДСТУ 4145-2002, который является базовым в Украине
Реализует в полном объеме требования стандартов X.509
Современная, ориентирована на эксплуатацию в течение продолжительного времени
Обеспечивает создание ЦСК, который может быть зарегистрирован/аккредитован в Удостоверяющем центре НБУ

Слайд 39

Достинства

Единая система управления ключами и сертификатами для всех банковских систем
Современная, ориентирована на

Достинства Единая система управления ключами и сертификатами для всех банковских систем Современная,
удаленное обслуживание пользователей в режиме on-line (большинство перспективных банковских сервисов ориентированы на работу в режиме on-line)
Повышает надежность и безопасность обслуживания удаленных пользователей и клиентов, посредством сервисов работающих в режиме on-line (OCSP, TSP, LDAP)
Имя файла: Применение-технологий-Х.509-для-криптографической-защиты-информации-в-автоматизированных-системах-банков.pptx
Количество просмотров: 120
Количество скачиваний: 0