2.Создания и проверки электронной подписи электронных документов различного формата криптографических сообщений.
3.Взаимодействия Операторов и Пользователей с Удостоверяющим центром для получения и управления сертификатами ключей проверки электронной подписи.
Сервис проверки и усиления ЭП;
Усиленная неквалифицированная и усиленная квалифицированная электронные подписи получаются в результате криптографического преобразования информации с использованием ключа электронной подписи,
позволяют определить лицо, подписавшее электронный документ, позволяют обнаружить факт внесения изменений в электронный документ после
момента его подписания, создаются с использованием средств электронной подписи.
Квалифицированная электронная подпись наравне с вышеуказанными признаками должна соответствовать следующим дополнительным признакам:
1.ключ проверки электронной подписи указан в квалифицированном
сертификате;
2.для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Законом об электронной подписи.
При этом основное отличие квалифицированного сертификата ключа проверки электронной подписи заключается в том, что он должен быть выдан аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра.
Сервис сбора CRL или OCSP-сервис;
Для технологии открытых ключей необходимо, чтобы пользователь открытого ключа был уверен, что этот ключ принадлежит именно тому удалённому субъекту (пользователю или системе), который будет использовать средства шифрования или цифровой подписи. Такую уверенность дают сертификаты открытых ключей, то есть структуры данных, которые связывают значения открытых ключей с субъектами. Эта связь достигается цифровой подписью доверенного CA (В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона
(отдел, организация), чья честность неоспорима, а открытый ключ широко известен.
Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов) под каждым сертификатом. Сертификат имеет ограниченный срок действия, указанный в его подписанном содержании. Поскольку пользователь сертификата может самостоятельно проверить его подпись и срок действия, сертификаты могут распространяться через незащищённые каналы связи и серверные системы, а также храниться в кэш-памяти незащищённых пользовательских систем. Содержание сертификата должно быть одинаковым в пределах всего PKI (Инфраструктура открытых ключей (ИОК, англ. PKI - Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:
1.закрытый ключ (private key) известен только его владельцу;
2.удостоверяющий центр создает электронный документ — сертификат открытого ключа, таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается в сертификате;
3.никто не доверяет друг другу, но все доверяют удостоверяющему центру;
4.удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом).
CRL представляет собой список отозванных сертификатов с указанием времени. Он подписывается CA и свободно распространяется через общедоступный репозиторий. В списке CRL каждый отозванный сертификат опознается по своему серийному номеру. Когда у какой-то системы возникает необходимость в использовании сертификата (например, для проверки цифровой подписи удаленного пользователя), эта система не только проверяет подпись сертификата и срок его действия, но и просматривает последний из доступных списков CRL, проверяя, не отозван ли этот сертификат.
Полное наименование изделия: Программно-аппаратный комплекс "Службы УЦ. КриптоПро OCSP".
Сокращенное наименование изделия: ПАК "КриптоПро OCSP".
Назначение комплекса
ПАК "КриптоПро OCSP" предназначен для выполнения в составе сертифицированного ФСБ России удостоверяющего центра функций установления статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol).
Сервис разбора конфликтных ситуаций;
Сервис разбора конфликтных ситуаций - компонент, обеспечивающий выполнение процедур по подтверждению подлинности электронной цифровой подписи (электронной подписи) в электронных документах и установлению статуса сертификата открытого ключа на определенный момент времени. Итогом работы АРМ разбора конфликтных ситуаций является протокол, содержащий результаты выполненных проверок.
Порядок разбора конфликтных ситуаций (является приложением к соглашению сторон Соглашение)
1. Общие положения
1.1.Ниже приведен перечень конфликтных ситуаций по поводу исполнения Электронных документов (далее «Документов), рассматриваемых технической комиссией, действующей в соответствии с порядком, предусмотренным Соглашением:
- Документ исполнен, а Клиент утверждает, что Документ не посылал и не подписывал; - Клиент утверждает, что он направил Документ, а Документ не исполнен, причем, по утверждению Клиента, от Контрагента получена Квитанция об исполнении; - Клиент утверждает, что он направил один Документ, а исполнен другой Документ; - другие конфликтные ситуации.
1.2.При разрешении спорных ситуаций Стороны обязуются руководствоваться следующими принципами:
- Сторона-получатель обязуется признать подлинным Документ, переданный ей посредством Системы и имеющий ЭП, сформированную на закрытых ключах Стороныотправителя, при условии положительного результата проверки ЭП на соответствующих открытых ключах.
- Сторона-отправитель обязуется признать подлинным (переданным ею посредством Системы) Документ, имеющий ЭП, сформированную на ее закрытых ключах, при условии положительного результата проверки ЭП на соответствующих открытых ключах.
- ответственность возлагается на Сторону-отправителя, при получении Сторонойполучателем ложного Документа с успешно подделанной ЭП, так как в этом случае Сторонаотправитель не обеспечила сохранность закрытых ключей ЭП.
1.3.Стороны признают, что математические свойства алгоритма ЭП, реализованного в соответствии с требованиями стандартов РФ ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94, гарантируют невозможность подделки значения ЭП любым лицом, не обладающим закрытым ключом подписи.
1.4.Стороны признают, что Квитанция, пришедшая в пакете сообщений Сторонеотправителю Документа от Стороны-получателя данного Документа, подписана ЭП, поставленной под пакетом сообщений.
1.5.Стороны должны представить комиссии следующие материалы:
-файлы, содержащие спорный Документ и полученную на него Квитанцию, выгруженные из Системы путем использования функционала Системы «Выгрузка данных для проверки подписи», а также распечатанный из Системы спорный Документ. Описание процедуры выгрузки данных для проверки подписи приведено в Документации;
-подписанные собственноручными подписями уполномоченных лиц Клиента и Банка оригиналы Регистрационных карточек Открытых ключей ЭП (далее – «Регистрационные карточки»);
-электронный носитель с Ключами Средств защиты информации.
1.6. Проверка подлинности Электронного документа осуществляется посредством программы разбора конфликтных ситуаций CONFLICT. Описание программы приведено в документации к Средствам защиты информации «Программные средства автоматизированного рабочего места (АРМ) разбора конфликтных ситуаций. Руководство оператора. ЯЦИТ.00063-02 34 01».
2. Процедура проверки подлинности электронных сообщений и документов.
2.1.Для разбора конфликтных ситуаций техническая комиссия выполняет следующие действия:
- проверяет подлинность ЭП под выгруженным спорным Документом с использованием Открытого ключа ЭП Стороны-отправителя данного Документа; - проверяет подлинность ЭП под выгруженной Квитанцией на получение Документа с
использованием Открытого ключа ЭП Стороны-получателя данного Документа; - сверяет соответствие Регистрационных карточек Открытого ключа ЭП Сторон;
- сверяет соответствие Регистрационных карточек Открытого ключа ЭП Сторон с распечаткой протокола проверки ЭП, полученной при помощи программы CONFLICT.
2.2.Результаты работы технической комиссии отражаются в акте, подписанном всеми членами технической комиссии. Члены технической комиссии, не согласные с выводами большинства, подписывают акт с возражениями, который прилагается к основному акту.
Сервис проверки сертификатов на квалифицированность;
Сервис проверки сертификатов на квалифицированность может быть реализован как отдельная функция. При необходимости убедиться в том, является ли сертификат квалифицированным, можно проверить это благодаря функции в контекстном меню программы.
Сервис меток точного времени;
Всостав ПАК "КриптоПро TSP" входит приложение КриптоПро TSPUTIL, предназначенное для работы со штампами времени в командной строке. Данное приложение позволяет создавать запросы на штампы времени, получать штампы времени, сохранять запросы и штампы в файлы, обрабатывать их. КриптоПро TSPUTIL для выполнения своих функций использует "КриптоПро TSP Client", и содержит эту программную библиотеку в своём установочном пакете.
Доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент
Согласно статье 4 ФЗ «Об электронной цифровой подписи», ЭЦП признаётся равнозначной собственноручной подписи в документе на бумажном носителе при условии, что сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания.
Формат усовершенствованной подписи предусматривает обязательное включение в реквизиты подписанного документа доказательства момента создания подписи и доказательства действительности сертификата в момент создания подписи.
Для доказательства момента подписи используются штампы времени, соответствующие международной рекомендации RFC 3161 "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)".
Доказательства действительности сертификата в момент подписи обеспечиваются вложением в реквизиты документа цепочки сертификатов до доверенного УЦ и OCSPответов. На эти доказательства также получается штамп времени, подтверждающий их целостность в момент проверки.
Вформате усовершенствованной подписи вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа. Для сохранения юридической значимости электронных документов при архивном хранении остаётся только обеспечить их целостность организационно-техническими мерами. В этом случае