Комплекс "Цезарис" является системой управления цифровыми сертификатами Х.509, разработанный в соответствии с требованиями международных и европейских стандартов, законодательных требований ЕС и Украины. Комплекс ориентирован на построение инфраструктуры цифровой подписи многофилиальной разветвленной организации.
ЦСК ЦЕЗАРИС (открытая часть)
Презентация продукта, (укр. язык, 17МБ)
Состав и особенности Комплекса "ЦЕЗАРИС"
1. Состав Комплекса
Центр сертификации ключей. Предназначен для выдачи и управления цифровыми сертификатами Х.509; централизованный модуль в Головном офисе.
Центр(ы) регистрации. Предназначен для регистрации пользователей системы. Эти модули могут устанавливаться в отдаленных офисах (филиалах, структурных подразделениях) для управления своими локальными пользователями и их цифровыми сертификатами. Количество модулей зависит от структуры предприятия (организации).
Репозиторий (хранилище) сертификатов. Предназначен для хранения сертификатов и списков отозванных (аннулированных, блокированных) сертификатов (база данных); централизованный модуль в Головном офисе.
Базовые службы
Служба сертификации (Certificate Generation Service) - услуги, которые предоставляются Центром сертификации (Certificate Authority, CA). Базовые функции: создает и подписывает сертификаты, основанные на идентичности и других свойствах субъектов, которые проверены Центром регистрации.
Служба регистрации (Registration Service) - услуги, которые предоставляются Центром регистрации (Registration Authority, RA). Базовые функции: проверяет идентичность и, если необходимо, любые специфические свойства субъектов (подписчиков). Результаты этого сервиса передаются сервису Центра сертификации (генерации сертификатов).
Служба распространения (Dissemination Service). Базовые функции: распространяет сертификаты к подписчикам/ субъектам, и если есть согласие субъекта, то другим сторонам. Этот сервис также распространяет Политику CA и практическую информацию для подписчика и стороны, которая полагается на подпись.
Служба управления отзывом (Revocation Management Service). Базовые функции: обрабатывает запросы процессов и отчеты относительно отзыва сертификатов. Результаты этого сервиса распространяются посредством Службы статуса отзыва.
Служба статуса отзыва (Revocation Status Service). Базовые функции: обеспечивает информацию о статусе аннулирования/ блокировки сертификатов. Эта служба может быть сервисом реального масштаба времени (он-лайн) или может базироваться на информации о статусе отзыва, которая обновляется через определенный промежуток времени.
Дополнительные службы
Служба снабжения устройства подписчика (Subject Device Provision Service). Назначение: готовит и предоставляет подписчику Устройство создания подписи (Signature Creation Device, SCDev).
Служба фиксации времени (Time-Stamping Service) или Центр услуг фиксации времени (Time-Stamping Authorities, TSA). Это вообще может быть третья сторона, которой доверяют и которая назначена, чтобы генерировать и обеспечивать метки/ отметки (token) фиксации времени (Time-Stamp Token, TST). Метка фиксации времени обеспечивает доказательство, что элемент данных существовал перед определенным показанием времени. Требования безопасности выдвигаются только для служб фиксации времени, которые криптографически связывают значение времени со значением данных.
2.Технические особенности системы ЦСК
Обеспечение безопасности приватных (закрытых) ключей подписи (SMART карточки и USB токены).
Безопасность хранения и использования приватных ключей цифровой подписи является одним из важных вопросов.
Для обеспечения надежности (безопасности) хранения и использования приватных ключей подписи серверов, например: Центра сертификации, Центра регистрации, WEB-сервера и т.д., могут использоваться аппаратные модули безопасности HSM (Hardware Security Module). Предлагается HSM фирмы Eracom GmbH (Германия), который имеет международный сертификат безопасности FIPS 140-1 и экспертное заключение СБУ.
Для обеспечения надежности (безопасности) хранения и использования приватных ключей подписи физических лиц (работников организации или клиентов) могут использоваться криптографические смарт-карточки (Axalto, GemPlus, Oberthur), или криптографические USB-токены (Aladdin Knowledge Systems; GemPlus International и т.д.).
3. Системные требования
Серверные модули системы РКI работают под управлением операционной системы Windows 2003.
Клиентские ПК для полноценной работы с цифровыми сертификатами должны иметь операционную систему Windows 2000 SP1 и выше.
Важно: На ПК должен быть установлен броузер Internet Explorer версии 6.0 или выше (другие броузеры проходят тестирование).
|