Embed Size (px)
Citation preview
Применение PKI для обеспечения криптозащиты
информации в системах электронного документооборота
Докладчик: Свиридов Евгений Алексеевич, директор, канд.тех.наук
ООО «Юкрейн Проперти Групп»Адрес: 03056, Киев, Украина, пер. Индустриальный 23
Тел./факс : (044) 360-15-05www.upg.kiev.ua
e-mai l : [email protected]
Содержание
1. Нормативно-правовая база применения PKI 2. Модель электронного документооборота 3. Прикладные вопросы применения PKI4. Проблемные вопросы применения PKI в
системах электронного документооборота5. О нашей деятельности
Нормативно-правовая базаБАЗОВЫЙ ДОКУМЕНТ Директива 1999/93/EС Европейского Парламента и Совета от 13 декабря 1999 г. о порядке использования
электронных подписей в Европейском Сообществе
Законодательство Украины: Закон України від 22.05.2003 № 851-IV «Про електронні документи та електронний документообіг»
(ЗУ «Про ЕД та ЕДО») Закон України від 22.05.2003 № 852-IV «Про електронний цифровий підпис» (ЗУ «Про ЕЦП»)
Основные нормативные документы Украины: ДСТУ ЕTSI TS 102 176-1:2009 Електронні підписи й інфраструктури (ESI). Алгоритми і параметри безпечних
електронних підписів. Частина 1. Геш-функції й асиметричні алгоритми ДСТУ 4145-2002 Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується
на еліптичних кривих. Формування та перевіряння ДСТУ ЕTSI TS 102 045:2009 Електронні підписи й інфраструктури (ESI). Політика підписів для розширеної
бізнес-моделі ДСТУ ETSI TS 101 903:2009 «Електронні підписи й інфраструктури. Розширені електронні XML-підписи (XAdES)» ДСТУ ETSI TS 102 023:2009 Електронні підписи й інфраструктури (ESI). Вимоги політики для органів
штемпелювання часу ДСТУ ЕTSI TS 101 862:2009 Профіль посилених сертифікатів ДСТУ ЕTSI TS 101 861:2009 Профіль штемпелювання часу
Основные европейские нормативные документы: ETSI TS 101 456: Policy requirements for certification authorities issuing qualified certificates ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates
Использование алгоритмов подписания
RSA(ДСТУ ЕTSI TS
102 176-1)
ECDSA(ДСТУ ЕTSI TS
102 176-1)
ДСТУ 4145
RSA(ЕTSI TS 102 176-1)
Мировое сообщество
(бизнес)
ECDSA(ЕTSI TS 102 176-1)
RSA(ЕTSI TS 102 176-1)
Банковская сфера
ECDSA(ЕTSI TS 102 176-1)
RSA(ДСТУ ЕTSI TS
102 176-1)
Банковская сфера Украины
(НБУ)
ДСТУ 4145
Украина
ЕДИНСТВО ТРЕБОВАНИЙ И ИНТЕРОПЕРАБЕЛЬНОСТЬ ЭЦП
Реализация модели электронного документооборота на основе ЕЦП.Для руководящего состава предприятия обеспечивается возможность наблюдать в
реальном времени исполнения любой из задач и/или анализировать результативность работы различных отделов или конкретных сотрудников в отдельности для принятия управленческих решений.
Центральное звено - Сервер управления контентом, реализующий бизнес процессы, которые заказывают клиенты и исполняют сотрудники. Например, поддержку централизованной бухгалтерии, формирование корпоративной отчетности, заключение договоров и т.п.
Общая модель электронного документооборота
Анализирует результатыОтслеживает работу
Бизнес-процесс
Сервер управления контентом
Клиенты
Сотрудники
Сервер отслеживания исполнения
Руководство
Реализует
Взаимодействуют Статистика
100110
Последовательность операций по подписанию ЭД
Сгенерировать ключевую паруПолучить сертификат открытого ключа в ЦСК «UPG PKI» ООО «Юкрейн Проперти Групп»Подписать документ с использованием ключей
Центр сертификации ключей
Орган штемпелевания времени
ЦСК «UPG PKI»
Вариант практического применения PKI
ЦСК “UPG PKI” ООО «Юкрейн Проперти Групп» (ЦСК “UPG PKI”) предоставляет услуги ЭЦП, соответствующие как национальным, так и европейским нормам.
Предлагается использовать функционал приложений MS Office 2010, который с помощью дополнительной утилиты конфигурации настроек, реализованной ООО «Юкрейн Проперти Групп», позволяет применять PKI (ЭЦП), соответствующие ДСТУ ETSI TS 101 903 (описывает расширенные электронные XML-подписи (XAdES)), для создания ЭД непосредственно в приложениях Word, Excel, PowerPoint, InfoPath), а также подписывать и шифровать сообщения в приложении Outlook.
Преимущества создания электронных документов в приложениях MS Office
Для подписания используется инфраструктура открытых ключей (PKI) ЦСК ООО «Юкрейн Проперти Групп», соответствующая требованиям ДСТУ ЕTSI TS 102 176-1, ДСТУ ЕTSI TS 102 176-2, ДСТУ ЕTSI TS 101 862, а для штемпелевания времени используется TSP-сервер ООО «Юкрейн Проперти Групп», который реализует требования ДСТУ ЕTSI TS 101 861, что позволяет:
1. Разрабатывать юридически значимые ЭД в привычном пользовательском интерфейсе MS Office
2. Разрабатывать ЭД, соответствующие открытому формату Open XML3. Обеспечить соответствие формата ЭЦП требованиям ДСТУ ETSI TS
101 903Примечание. Для корректного подписания ЭД в приложениях пакета MS Office 2010 необходимо установить дополнительную утилиту конфигурации настроек, реализованную ООО «Юкрейн Проперти Групп»
Подписать письмо личным секретным ключомПередать письмо адресатуЗашифровать письмо с использованием сертификата получателя
Для обеспечения обмена подписанными зашифрованными сообщениями сторонам необходимо иметь цифровой сертификат открытого ключа, который подтверждает личность отправителя для других сторон.
Цифровой сертификат должен быть получен от авторитетного органа выдачи сертификатов.
Клиент 1
2
Последовательность операций по защищенному обмену сообщениями
Сгенерировать ключевую паруПолучить сертификат открытого ключа в ЦСК «UPG PKI» ООО «Юкрейн Проперти Групп»Обменяться сертификатами открытых ключей для возможности шифрования переписки
ЦСК «UPG PKI»
Клиент 2
Загрузить личный сертификат открытого ключа в почтовикСоздать письмо
2
1
Расшифровать письмо личным ключом адресатаВерифицировать подпись отправителя с помощью его сертификата, содержащегося в подписи
Преимущества обмена сообщениями в MS Outlook
Для подписания и шифрования используется инфраструктура открытых ключей (PKI) ЦСК «UPG PKI» ООО «Юкрейн Проперти Групп», соответствующая требованиям ДСТУ ЕTSI TS 102 176-1, ДСТУ ЕTSI TS 102 176-2, ДСТУ ЕTSI TS 101 862, что обеспечивает:1. Работу в привычном пользовательском интерфейсе MS Office2. Создание юридически значимого электронного
документооборота 3. Обеспечение целостности переписки и аутентификации
отправителя с помощью использования ЭЦП4. Защиту сообщений от несанкционированного доступа за счет
его шифрования
Выводы по применению PKI
Применение ключей ЦСК “UPG PKI” позволяет:1. Обеспечить полнофункциональное применение приложений пакета MS
Office 2010, в области подписания ЭД непосредственно из приложений MS Office 2010, а так же применение приложения MS Outlook в области подписания и шифрования сообщений.
2. Создавать юридически значимые ЭД, а так же юридически значимую переписку при организации электронного документооборота при предоставлении широкого спектра электронных услуг.
3. Реализовать дополнительные надстройки над приложениями MS Office 2003 и 2007, Open Office по расширению функционала в области ЭЦП и защиты ЭД.
4. Реализовать полнофункциональную систему электронного документооборота на базе продуктов SharePoint Server 2010.
5. Обеспечить интероперабельность ЭЦП не только в Украине, но и в странах Европейского сообщества, а также в СНГ, за счет реализации ДСТУ, гармонизированных с европейскими нормативными документами.
Государственные органы
Общегосударственная система PKI
Центральный удостоверяющий орган
(ЦУО)
Аккредитованные центры сертификации ключей
(АЦСК)
Государственная служба специальной связи и защиты
информации Украины (ГСССЗИ)
Зарегистрированные центры сертификации
ключей (ЦСК)
НБУ
ГНАУ
Госфинмониторинг
ПФУ
Госадминистрация железнодорожного
транспорта
Госком-предпринимательства
Государственная служба занятости
ГКЦБФР
Госфинуслуг
Юридические лица
Юридические лица
Физические лица
Регистрация Контроль
Услуги ЭЦП Услуги ЭЦПУслуги ЭЦП
Обмен электронными документами
Требования к сертификатам
ОБЩИЕ ТРЕБОВАНИЯ
Органы государственной власти, органы местного самоуправления, предприятия, учреждения и организации государственной формы собственности могут использовать лишь усиленные сертификаты открытых ключей (ЗУ «Про ЕЦП»)
Предоставлять услуги ЭЦП и обслуживать усиленные сертификаты открытых ключей имеет право Аккредитованный центр сертификации ключей
Примечание о правомочности использования терминов: В терминологии Директивы ЕС 1999/93/ЕС используется термин провайдер услуг
сертификации (Certification Service Provider (CSP)). Этот термин тождественен центру сертификации ключей, примененному в Законе Украины «Про ЕЦП» и в гармонизированных ДСТУ
Предложения по определению требований к СЭД
Пропозиції щодо організації електронного документообігу в Україні
Вид інформаціїПропозиції щодо визначення
виду СЕД, яка оброблює інформацію
Суб'єкти електронного документообігу
Коментарі, пропозиції
таємна інформація
конфіденційна інформація, вимога щодо захисту якої
встановлена законом
конфіденційна інформація, що є
власністю держави
За забезпечення захисту та достовірності даних під час їх
обробки згідно з чинним законодавством відповідає
Адміністрація Держспецзв'язку
(становить близько 10% усього документообігу України)
Окрема СПЕЦІАЛЬНА СЕД
(СЕД- система електронного документообігу)
За забезпечення захисту та достовірності даних під час їх
обробки згідно з чинним законодавством відповідає
Адміністрація Держспецзв'язку
Окрема ЗАКРИТА СЕД
відкрита інформація
конфіденційна інформація
ЗАГАЛЬНОДОСТУПНА
СЕД
Організація електронного документообігу конфіденційної та
відкритої інформації, а також контроль за забезпеченням захисту
та достовірності даних під час їх обробки пропонується покласти на
Держкомінформнауки
(становить близько 70% усього документообігу України)
Повинна бути забезпечена можливість приймання, обробки та
перевірки у закритій системі електронного документообігу конфіденційної та відкритої інформації від усіх учасників електронного документообігу
Державні органи, установи та організації,
які отримали спеціальний дозвіл
Державні органи, а також установи та
організації, які створили необхідні умови та здійснюють обмін
такою інформацією
Усі суб'єкти електронного
документообігу в України, а також іноземні суб'єкти
(становить близько 20% усього документообігу України)
Гр
I
II
III
Перспективные электронные технологии с использованием ЭЦП
Использование ЭЦП позволяет внедрять и применять современные электронные технологии как внутри компании так и за ее пределами:
– электронные счета (e-Invocing);– тендеринг и электронные закупки (e-Procurement);– улучшение работы или упрощение создания централизованной бухгалтерии;– банковское дело (включая международные услуги) (e-Banking);– электронная коммерция и массовые электронные платежи (e-Commerce); – идентификация физических лиц (e-ID);– телемедицина и электронное здравоохранение (e-Health); – выставления электронных счетов, в частности для обслуживания НДС (e-Invoice);– электронное или дистанционное обучение (e-Learning); – нотариальные услуги (e-Notary);– услуги страхования (e-Insurance); – электронное управление;– ужесточение контроля над исполнительной дисциплиной; – осуществление документооборота в крупных компаниях между головной организацией и филиалами; – осуществление операций между различными предприятиями; – сдача электронной отчетности (в государственные органы, а также для формирования консолидированного
баланса для крупных корпоративных компаний); – рентные операции;– торговля (включая международную торговлю);– система снабжения, содержащего связанные договоренности по сервисному обслуживанию; – заверение документов свидетелем.
Дополнительная информация: ДСТУ ЕTSI TS 102 045:2009 «Электронные подписи и инфраструктуры (ESI). Политика для расширенной бизнес-модели»
Проблемные вопросы применения PKI в СЭД
Реализация пилотного проекта по внедрению технологий электронного правительства должна завершиться решением вопросов:
1. Практически реализовать в Украине требования Директивы 1999/93/EС Европейского Парламента и Совета от 13 декабря 1999 г. о порядке использования электронных подписей в Европейском Сообществе. Механизм реализации – разработка
Технического регламента о Национальной системе ЭЦП.
2. Определить порядок применения PKI в СЭД, применяемых в Украине для обработки различных видов информации с учетом степени закрытости и требований по защите.
3. Внедрить в Украине регистрацию и выдачу усиленных сертификатов открытых ключей PKI, реализованных в соответствии с ДСТУ ЕTSI TS 102 176-1
ООО «Ю крейн П р оп ер т и Груп п » - лицензированная компания (лицензия №442549 от 16.04.2009), специализирующаяся на проектировании, разработке и внедрении решений по реализации схем электронного документооборота с использованием ЭЦП «под ключ».
Предлагаемые услуги:-разработка средств криптографической защиты информации - нами разработаны «Библиотека функций Crypto Lib UPG» и «Криптопровайдер Crypto Pro UPG», реализующие алгоритмы национальных стандартов криптографических преобразований, а также ПТК «UPG PKI» для создания (А)ЦСК, реализующий как национальные, так и международные стандарты в области инфраструктуры открытых ключей;- разработка информационно-телекоммуникационных систем и отдельных программных продуктов для реализации бизнес-сценариев с использованием ЕЦП в сфере электронного документооборота;-предоставление Центром сертификации ключей ООО "Юкрейн Проперти Групп" полного комплекса услуг ЭЦП в соответствии с действующим законодательством;-создание (А)ЦСК «под ключ» - предлагаем полный комплекс услуг по развертыванию (А)ЦСК (CSP), поддерживающих квалифицированную инфраструктуру открытых ключей (QPKI), эталонная модель которой строится на основе европейских и международных стандартов, а также ЦСК согласно требованиям для аккредитации;-реализация мероприятий по технической защите информации, в частности, построение Комплексных систем защиты информации.
В своей работе мы используем новейшие технологии, а также огромный опыт иностранных компаний в области защиты информации, ориентированный на международные и европейские стандарты.
Наш о сн овно й п р инц ип : – о п т имал ьн ы й бал анс меж ду сто имост ью/кач еством/скор остью внед рения решен ий.
О нашей деятельности
Адрес: 03056, Киев, Украина, пер. Индустриальный, 23Тел./факс : (044) 331-93-48www.upg.kiev.ua
Свиридов Евгений – директортел.: +38(094) 924-85-05; E-mail: [email protected]
Ермоленко Ольга – руководитель отдела защиты информациител.: +38(068) 609-73-29; E-mail: [email protected]
Приказчик Виталий – начальник ЦСКтел.: +38(067) 705-28-44; E-mail: [email protected]
Контакты
