Ссылка на старый сайт

Техническое описание

Section image
Удостоверяющий центр Техническое описание Типовые договоры Управление регистрационными свидетельствами Регистрационные свидетельства УЦ и Списки отозванных сертификатов Объектные идентификаторы Политики регистрационных свидетельств Доп. сервисы УЦ НПК Тарифы Документы УЦ Техническая поддержка Профили регистрационных свидетельств Поля “Issuer” и “Subject” регистрационного свидетельства Структура регистрационных свидетельств Структура списка отозванных регистрационных свидетельств

Удостоверяющий Центр НПК реализован на базе программного комплекса инфраструктуры открытых ключей (ИОК) «CERTEX» предоставляющего средства для выпуска и обслуживания регистрационных свидетельств (сертификатов), разработанных в соответствии с общепринятой мировой практикой в области построения ИОК в соответствии с международными стандартами серии PKIX (Public Key Infrastructure (X.509 v.3, RFC 3280)).

 

Основные задачи и функции Удостоверяющего Центра НПК

1. Основной задачей Удостоверяющего Центра является удостоверение соответствия открытого ключа подписи/шифрования закрытому ключу, а также подтверждение достоверности регистрационного свидетельства. 2. Удостоверяющим Центром в установленном законодательством порядке осуществляются в пределах своей компетенции следующие функции: 1. первичная регистрация, формирование личных (закрытых) и открытых ключей и регистрационных свидетельств пользователей; 2. выдача, хранение регистрационных свидетельств; 3. выпуск, приостановление/возобновление действия, отзыв (аннулирование) регистрационных свидетельств; 4. публикация списка отозванных регистрационных свидетельств (СОРС) в регистре; 5. ведение регистра (каталога) регистрационных свидетельств; 6. подтверждение принадлежности, подлинности и действительности регистрационного свидетельства открытого ключа. 3. Для реализации своих функций Удостоверяющий Центр (УЦ) может осуществлять в установленном законодательством порядке заключение соответствующих договоров для осуществления уставной деятельности. 4. Удостоверяющий Центр может взимать плату за оказываемые услуги, установленные действующим законодательством или договорными обязательствами.

 

Структура Удостоверяющего Центра НПК

В состав Удостоверяющего Центра НПК входят следующие модули/компоненты:

  • Программное обеспечение (ПО) «CERTEX» Удостоверяющий Центр;
  • ПО «CERTEX» Центр Регистрации;
  • Аппаратное и/или программное средство криптозащиты информации (СКЗИ);
  • Регистр регистрационных свидетельств (хранилище);
  • Дополнительные компоненты
  • свидетельств, запросов на отзыв/ приостановление/ возобновление действия регистрационных свидетельств, поступающих от Центра регистрации и/или пользователей УЦ, а также для выпуска и управления регистрационными свидетельствами и СОРС.
  • ПО «CERTEX» Центр Регистрации — структура УЦ, отвечающая за регистрацию пользователей, формирование закрытого и открытого ключей, формирование и отправку в УЦ запроса на выпуск регистрационного свидетельства пользователя, формирование и отправку в УЦ запроса на отзыв/ приостановление/ возобновление действия регистрационного свидетельства.
  • Аппаратное или программное СКЗИ — обеспечивает компоненты УЦ необходимыми криптографическими функциями, в том числе, по вычислению и проверке ЭЦП. Взаимодействие с аппаратным СКЗИ обеспечивается по протоколу PKCS#11 «Cryptographic Token Interface Standard». В случае использования программного СКЗИ протокол взаимодействия соответствует API Microsoft Cryptographic Service Provider (CSP).
  • Регистр регистрационных свидетельств — специализированный LDAP справочник. Доступ к справочнику осуществляется по протоколу LDAP (RFC 2251 «Lightweight Directory Access Protocol v.3») или через Web-интерфейс.

Дополнительные компоненты Удостоверяющего Центра НПК

Помимо основных функций, Удостоверяющий Центр НПК предоставляет услуги ряда дополнительных служб:

  • Служба метки времени (Time Stamp) ПО «CERTEX Time Stamp» является частью ИОК CERTEX, включает в себя программный компонент Time Stamping Authority (TSA) и клиентский компонент CERTEX TSP Client для формирования TSP-запросов. Назначение ПО «CERTEX Time Stamp» — получение и управление метками времени. Назначение серверной части ПО «CERTEX Time Stamp» — установление временной метки данных для создания доказательства того, что данные существовали на определенный момент времени. Временную метку данных можно использовать далее, например, для подтверждения того, что цифровая подпись была проставлена на сообщении до того, как соответствующее регистрационное свидетельство было отозвано, таким образом, создается возможность использовать отозванное регистрационное свидетельство открытых ключей в качестве подтверждения создания подписей до момента отзыва. Сервер TSA можно также использовать для указания времени подачи документа, когда крайний срок подачи является критическим фактором, или для указания времени проведения операции с целью внесения записей в журнал регистрации.
  • Служба оперативной проверки статуса регистрационных свидетельств (OCSP) OCSP — представляет собой простой протокол типа «запрос-ответ», позволяющий получить информацию о текущем статусе регистрационного свидетельства в оперативном режиме.

Поддерживаемые стандарты

  • Информационный обмен ПО Удостоверяющий Центр «CERTEX» с пользователями и владельцами регистрационных свидетельств осуществляется по стандартным сетевым протоколам стека TCP/IP;
  • Публикация регистрационных свидетельств и СОРС в каталогах, поддерживающих доступ, осуществляется по протоколу LDAP RFC 2251 «Lightweight Directory Access Protocol (v3)»;
  • Регистрационные свидетельства открытых ключей, выпущенные Удостоверяющим Центром, соответствуют рекомендациям Х.509 v.3, RFC 3280 «Certificate and Certificate Revocation List (CRL) Profile» и RFC 3039 «Qualified Certificates Profile» и могут использоваться стандартными пользовательским приложениями.
  • Структура формируемых списков отозванных регистрационных свидетельств соответствует рекомендациям Х.509 v2, RFC 2459 «Certificate and Certificate Revocation List (CRL) Profile» и RFC 3280 «Certificate and Certificate Revocation List (CRL) Profile»;
  • PKCS#1(RSA Cryptography Standard);
  • PKCS#3 (Diffie-Hellman Key Agreement Standard);
  • PKCS#5 (Password-Based Cryptography Standard);
  • PKCS#6 (Extended-Certificate Syntax Standard);
  • PKCS#7 (Cryptographic Message Syntax Standard);
  • PKCS#8 (Private-Key Information Syntax Standard);
  • PKCS#9 (Selected Attribute Types);
  • PKCS#10 (Certification Request Syntax Standard);
  • PKCS#11 (Cryptographic Token Interface Standard);
  • PKCS#12 (Personal Information Exchange Syntax Standard);
  • PKCS#13 (Elliptic Curve Cryptography Standard);
  • PKCS#15 (Cryptographic Token Information Format Standard);
  • CMS (RFC 2630 Cryptographic Message Syntax);
  • CMC (RFC 2797 Certificate Management Messages Over CMS);
  • SHA-1 (FIPS PUB 180-1);
  • SHA-2 (FIPS PUB 180-2);
  • SSL, TLS;
  • DSA, ECDSA;
  • OCSP (RFC 2560 «Online Certificate Status Protocol»);
  • TSP (RFC 3161, «Internet X.509 Public Key Infrastructure Time-Stamp Protocol»);
  • Взаимодействие с центрами предоставления точного времени осуществляется по протоколу SNTP (RFC 2030 Simple Network Time Protocol Version 4);
  • ГОСТ 34.310-2004 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
  • ГОСТ 34.311-95 (ГОСТ Р 34.11-94) Информационная технология. Криптографическая защита информации. Функция хеширования;
  • ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.