"AMB" group - информационная безопасность
Комплекс «Цезарис» является системой управления цифровыми сертификатами (свидетельствами) Х.509, разработанный в соответствии с требованиями международных и европейских стандартов, законодательных требований ЕС и Украиной. Комплекс ориентирован на построение инфраструктуры цифровой подписи многофилиальной разветвленной организации.
ЦСК ЦЕЗАРIС (открытая часть)
Презентация продукта, (укр. Язык, 17МБ)
Состав и особенности Комплекса «ЦЕЗАРИС»
1. Состав Комплекса
Центр сертификации ключей. Предназначен для выдачи и управления цифровыми сертификатами Х.509; централизованный модуль в главном офисе.
Центр (ы) регистрации. Предназначен для регистрации пользователей системы. Эти модули могут устанавливаться в удаленных офисах (филиалах, структурных подразделениях) для управления своими локальными пользователями и их цифровыми сертификатами. Количество модулей зависит от структуры предприятия (организации).
Репозиторий (хранилище) сертификатов. Предназначен для хранения сертификатов и списков отозванных (аннулированных, блокированных) сертификатов (база данных); централизованный модуль в главном офисе.
Изображение архитектуры Комплекса
базовые службы
Служба сертификации (Certificate Generation Service) - услуги, предоставляемые Центром сертификации (Certificate Authority, CA). Базовые функции: создает и подписывает сертификаты, основанные на идентичности и других свойствах субъектов, которые проверены Центром регистрации.
Служба регистрации (Registration Service) - услуги, предоставляемые Центром регистрации (Registration Authority, RA). Базовые функции: проверяет идентичность и, если необходимо, любые специфические свойства субъектов (подписчиков). Результаты этого сервиса передаются сервиса Центра сертификации (генерации сертификатов).
Служба распространения (Dissemination Service). Базовые функции: распространяет / распространяет сертификаты к подписчиков / субъектов, и если есть согласие субъекта, к другим. Этот сервис также распространяет Политику CA и практическую информацию для подписчика и стороны, которая возлагается на подпись.
Служба управления отзывом (Revocation Management Service). Базовые функции: обрабатывает запросы процессов и отчеты об отзыве сертификатов. Результаты этого сервиса распространяются с помощью службы статуса отзыва.
Служба статуса отзыва (Revocation Status Service). Базовые функции: обеспечивает информацию о статусе аннулирования / блокировки сертификата. Эта служба может быть сервисом реального масштаба времени (он-лайн) или может основываться на информации о статусе отзыва, которая обновляется через определенный промежуток времени.
дополнительные службы
Служба снабжения устройства подписчика (Subject Device Provision Service). Назначение: готовит и предоставляет подписчику Устройство создания подписи (Signature Creation Device, SCDev).
Служба фиксирования времени (Time-Stamping Service,) или Центр услуг фиксирования времени (Time-Stamping Authorities, TSA). Это вообще может быть третья сторона, которой доверят, которая предназначена, чтобы генерировать и обеспечивать метки / отметки (token) фиксирование времени (Time-Stamp Token, TST). Метка фиксации времени обеспечивает доказательство, что элемент данных существовал перед определенным указателем времени. Требования безопасности выдвигаются только для служб фиксации времени, которые криптографически связывают значение времени со значением данных.
2.Технические особенности системы ЦСК
Обеспечение безопасности частных ключей подписи ( SMART карточки и USB токены ).
Безопасность хранения и использования приватных ключей цифровой подписи является одним из важных вопросов.
Для обеспечения надежности (безопасности) хранения и использования приватных ключей подписи серверов, например Центра сертификации, Центра регистрации, WEB-сервера и т.д., могут использоваться аппаратные модули HSM (Hardware Security Module). Предлагается HSM фирмы Eracom GmbH (Германия), который имеет международный сертификат безопасности FIPS 140-1 и экспертное заключение СБУ.
Для обеспечения надежности (безопасности) хранения и использования приватных ключей подписи физических лиц (работников организации или клиентов) могут использоваться криптографические смарт-карты ( Axalto , GemPlus , Oberthur ) Или криптографические USB-токены ( Aladdin Knowledge Systems; GemPlus International и т.д.).
3. Системные требования
Серверные модули системы ЖКИ работают под управлением операционной системы Windows 2003.
Клиентские ПК для полноценной работы с цифровыми сертификатами должны иметь операционную систему Windows 2000 SP1 и выше.
важно:
На ПК должен быть установлен браузер Internet Explorer версии 6.0 или выше (другие броузеры проходят тестирование).