ViPNet KC & CA
Главным компонентом любой PKI является удостоверяющий центр. Он заверяет подлинность открытых ключей пользователей, выпуская сертификаты открытых ключей, и осуществляет сопровождение выпущенных сертификатов в течение их жизненного цикла. Удостоверяющий центр реализуется на базе ПО ViPNet KC & CA (Удостоверяющий и ключевой центр, УКЦ).

ViPNet KC & CA реализует полный набор функций по управлению сертификатами открытых ключей:

• формирование пар открытый-закрытый ключ по запросам пользователей;
• изготовление сертификатов открытых ключей;
• приостановление и возобновление действия сертификатов, отзыв (аннулирование) сертификатов;
• ведение реестра (справочника) выпущенных сертификатов и списка отозванных сертификатов.

Для организации взаимодействия различных информационных систем и распространения в них доверия часто требуется совместная работа различных PKI. Например, это требуется при межкорпоративном или межведомственном информационном обмене. Обычно используется одна архитектура или комбинация нескольких архитектур взаимодействия PKI: иерархическая (подчинение нескольких УЦ вышестоящему головному УЦ), сетевая (объединение одноранговых инфраструктур с перекрестной (кросс-) сертификацией головных УЦ), мостовая (кросс-сертификация каждого УЦ с одним выделенным УЦ-мостом). УЦ на базе ViPNet KC & CA поддерживает все перечисленные архитектуры, выполняя для внешних УЦ роли:

• головного УЦ (обработка запросов от внешних УЦ и выпуск для них сертификатов);
• подчиненного УЦ (создание запросов во внешние УЦ и получение от них сертификатов);
• мостового УЦ (выпуск кросс-сертификатов по запросам из внешних УЦ и создание запросов на кросс-сертификаты во внешние УЦ).

ViPNet Registration Point

В крупных территориально распределенных PKI взаимодействие УЦ с пользователями обычно производится через пункты регистрации. Пункт регистрации, выступая в качестве филиала УЦ, проводит идентификацию пользователей, генерирует для них ключевые пары или устанавливает факт владения закрытым ключом по предъявленному открытому ключу, после чего формирует и передает запрос на сертификацию в УЦ. Также через пункт регистрации в УЦ передаются запросы пользователей на изменение статуса уже выпущенных сертификатов. Результаты обработки запросов из УЦ пользователи тоже получают в пункте регистрации.

Сеть пунктов регистрации позволяет создать более эффективную PKI. Для обеспечения высокого уровня безопасности операций по выпуску и обслуживанию сертификатов к УЦ предъявляются специальные требования по организационной, физической и информационной безопасности. Перенос части функций УЦ в пункт регистрации позволяет снизить эти требования, что уменьшает расходы на создание УЦ. Пункты регистрации снижают нагрузку на УЦ по обработке запросов пользователей, вплоть до полного исключения непосредственного взаимодействия пользователей и УЦ. Это также ведет к снижению эксплуатационных расходов на содержание УЦ. Кроме того, чем разветвленнее сеть пунктов регистрации, тем ниже расходы пользователей, связанные с процедурой регистрации.

Для развертывания пункта регистрации используется компонент, входящий в состав ПО ViPNet Registration Point (Пункт регистрации).

ViPNet Publication Service

Одна из функций УЦ заключается в ведении открытого справочника, куда помещаются выпущенные сертификаты и списки отозванных сертификатов. Пользователи, обращаясь к этому справочнику, могут получить как непосредственно интересующие их сертификаты, так и информацию о статусе сертификатов. Если УЦ сам обслуживает справочник, то при большом числе запросов к нему нагрузка на УЦ может оказаться очень высокой. Вместе с тем, открытый справочник не является секретным и может размещаться вне УЦ, при этом подлинность информации в справочнике можно установить проверкой электронной цифровой подписи УЦ под соответствующими элементами справочника.

Для снижения нагрузки на УЦ, уменьшения расходов на его создание и эксплуатацию открытый справочник часто размещают на внешних по отношению к УЦ хранилищах (серверах), доступных по общедоступным протоколам. Использование общедоступных протоколов, кроме того, позволяет обеспечить совместимость с клиентскими приложениями различных производителей, а также облегчить взаимодействие с внешними УЦ при интеграции в масштабных PKI.

Публикация выпущенных УЦ сертификатов, кросс-сертификатов и списков отозванных сертификатов в хранилищах, а также загрузка списков отозванных сертификатов внешних УЦ из хранилищ организуются с помощью ПО ViPNet Publication Service (Сервис публикации). Поддерживаемые стандартные хранилища включают LDAP-серверы и WEB-серверы с загрузкой данных по FTP-протоколу.

ViPNet PKI продукты. Клиентское ПО

Эффективное использование преимуществ и особенностей PKI, созданной на базе ПО ViPNet KC & CA, ViPNet Registration Point, ViPNet Publication Service, достигается с помощью клиентского ПО ViPNet CryptoService (Криптосервис) и ViPNet Client (Клиент).

ViPNet CryptoService
ViPNet Cryptoservice предоставляет пользователю возможность управлять своими криптографическими ключами: генерировать пары открытый-закрытый ключ, записывать ключи в защищенные контейнеры и внешние электронные носители и считывать ключи из них, обновлять сертификаты. Обмен ключевой и служебной информацией с компонентами PKI, созданными на базе ПО ViPNet, полностью автоматизирован и производится криптографически защищенным способом.
Ключи и сертификаты пользователя используются криптографическими функциями, реализованными в криптопровайдере ViPNet CSP, входящим в состав ПО ViPNet Cryptoservice. Эти функции могут быть встроены в прикладное ПО сторонних производителей для создания различных защищенных информационных систем и сервисов (почтовые и банковские системы, системы юридически значимого документооборота, защиты информационных потоков и т.п.). Поставляемый криптопровайдер поддерживает стандартный интерфейс Microsoft Crypto API, высокоуровневый COM- и низкоуровневый C-интерфейсы.

ViPNet Сlient
В части использования PKI ПО ViPNet Client предоставляет возможности, аналогичные ViPNet Cryptoservice.

УЦКУ ViPNet
Компоненты ViPNet KC & CA, ViPNet NCC и ViPNet CryptoService, являющиеся составной частью средства криптографической защиты информации «Домен-К», а также используемые при необходимости компоненты ViPNet Registration Point и ViPNet Publication Service образуют в совокупности программно-аппаратный комплекс Удостоверяющий центр корпоративного уровня ViPNet (УЦКУ).

УЦКУ ViPNet может применяться для организации и использования PKI практически любой архитектуры и степени сложности. На УЦКУ ViPNet в двух модификациях получены сертификаты соответствия ФСБ России №СФ/128-1777 и №СФ/128-1778 по требованиям к информационной безопасности удостоверяющих центров классов КС2 и КС3.