Dekart CSP User Guide

DEKART RSA CRYPTOGRAPHIC SERVICE PROVIDER

Руководство пользователя

COPYRIGHT Copyright © Dekart, SRL. All Rights Reserved. No part of this publication may be reproduced, transmitted, transcribed, stored in a retrieval system, or translated into any language in any form or by any means without the written permission of Dekart, SRL., or its suppliers or affiliate companies.

DISCLAMER Dekart, SRL. makes no representations or warranties with respect to the contents or use of this manual, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Further, Dekart, SRL. reserved the right to revise this publication and to make changes to its content, at any time, without any obligation to notify any person or entity of such revisions or changes. Further, Dekart, SRL. makes no representations or warranties with respect to any Dekart RSA Cryptographic Provider software, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Further, Dekart, SRL. reserved the right to make changes to any and all parts of Dekart RSA Cryptographic Provider software, at any time, without any obligation to notify any person or entity of such revisions or changes. LICENSE AGREEMENT NOTICE TO ALL USERS: FOR THE SPECIFIC TERMS OF YOUR LICENSE TO USE THE SOFTWARE THAT THIS DOCUMENTATION DESCRIBES, CONSULT THE README.1ST, LICENSE.TXT, OR OTHER LICENSE DOCUMENT THAT ACCOMPANIES YOUR SOFTWARE, EITHER AS A TEXT FILE OR AS PART OF THE SOFTWARE PACKAGING. IF YOU DO NOT AGREE TO ALL OF THE TERMS SET FORTH THEREIN, DO NOT INSTALL THE SOFTWARE. IF APPLICABLE, YOU MAY RETURN THE PRODUCT TO THE PLACE OF PURCHASE FOR A FULL REFUND. DEKART, SRL. TRADEMARK ATTRIBUTIONS All other registered and unregistered trademarks in this document are the sole property of their respective owners. DEKART, SRL. CONTACT INFORMATION

Headquarters

Address: Dekart, SRL. 10 fl, 75, Alba-Iulia Chisinau MD2071 Republic of Moldova

Voice: +373 22 245580

E-mail: for sales details: [email protected]

for product support: [email protected]

for comments and feedback: [email protected]

WWW: www.dekart.com

TRADEMARKS

Trademarks of third party Bull is a registered trademark of Bull Group.

ChipDrive is a trademark of Towitoko Inc.

eToken is a trademark of Aladdin Knowledge Systems.

iKey is a trademark of Rainbow Technologies.

Hewlett-Packard is a registered trademark of Hewlett-Packard, Inc.

Intel and Pentium are registered trademarks of Intel Corporation.

Microsoft, Windows and Windows NT are registered trademarks of Microsoft Corporation.

Multiflex, Payflex and Cryptoflex are trademarks of Schlumberger.

Содержание 1

СОДЕРЖАНИЕ Предисловие .................................................................................................................2

Назначение руководства ........................................................................................................2 Требования к уровню подготовки пользователя ..................................................................2 Соглашение по документации................................................................................................2 Состав и назначение документации ......................................................................................3 Контакты с Dekart ....................................................................................................................4 Комментарии и отзывы ...........................................................................................................4

Введение в продукт Dekart RSA Cryptographic Provider........................................7

Назначение и особенности продукта Dekart RSA Cryptographic Provider ...........................7 Зачем нужна защита информации ....................................................................................7 Сертификаты и центры сертификации .............................................................................8 Поставщики службы криптографии.................................................................................10 Усиление безопасности ...................................................................................................11

Интеграция с электронными ключами .................................................................................11 Управление лицензированием продукта Dekart RSA Cryptographic Provider...................12 Как продукт Dekart RSA Cryptographic Provider решает проблемы защиты информации12 Характеристики продукта Dekart RSA Cryptographic Provider............................................13 Состав продукта Dekart RSA Cryptographic Provider ..........................................................14

Работа с продуктом Dekart RSA Cryptographic Provider ......................................17

Подготовка к использованию продукта Dekart RSA Cryptographic Provider......................17 Получение сертификата ..................................................................................................17 Настройка сертификата на использование продукта ....................................................18

Использование продукта Dekart RSA Cryptographic Provider ............................................21 Защита электронной почты .............................................................................................22 Использование продукта при генерации электронной цифровой подписи .................23 Использование продукта при чтении зашифрованных сообщений .............................24 Защита документооборота на базе Microsoft Office XP.................................................24 Генерация и проверка ЭЦП документа Microsoft Office XP...........................................25 Шифрование и расшифрование документа Microsoft Office XP ...................................26 Использование продукта для защиты доступа к WEB-сайту ........................................26 Изменение PIN-кода .........................................................................................................28

Обнаружение и устранение неисправностей ........................................................31

Глоссарий ....................................................................................................................33

2 Dekart RSA Cryptographic Provider. Operating Guide

Предисловие Продукт Dekart RSA Cryptographic Provider (CSP) — это программно-аппаратный комплекс, включающий в себя криптографическое ядро, которое может быть встроено в прикладные программы пользователя, и набор персонифицированных электронных Ключей — смарт-карт, Token, USB Flash Drive. Криптографическое ядро реализует алгоритмы шифрования с использованием закрытого ключа шифрования, хранящегося на электронном ключе, и позволяет кодировать и декодировать данные, а также создавать цифровые подписи и осуществлять контроль их подлинности.

Назначение руководства

Данное Руководство по эксплуатации предназначено для пользователей продукта Dekart RSA Cryptographic Provider. В нем подробно описывается процесс инсталляции продукта Dekart RSA Cryptographic Provider и методы его использования.

Требования к уровню подготовки пользователя

Продукт Dekart RSA Cryptographic Provider расширяет криптографические возможности операционной системы Windows персонального компьютера, предоставляя дополнительные средства шифрования, легко встраиваемые в используемые приложения в целях обеспечения надежной информационной защиты. Можно выделить два типа пользователей данного продукта:

• Администратор, осуществляющий инсталляцию продукта Dekart RSA Cryptographic Provider и настройку приложений на его использование.

• Стандартный пользователь, работающий с приложениями Windows и применяющий продукт в своей ежедневной работе для защиты информации.

Соглашение по документации

В настоящем руководстве новые термины, ключевые понятия, а так же названия глав и секций выделены курсивом.

В данном руководстве символ больше (>) используется для разделения операций внутри одного действия.

Интерфейсные элементы выделены полужирным курсивом.

Символы торговых марок (®, TM и др.) обозначают торговые марки Dekart, а символ звездочка (*) обозначает торговые марки третьих фирм.

Чтобы отличить пользователя-владельца смарт-карты или USB-ключа от обычного пользователя компьютера, в данном руководстве для его обозначения используется термин "защищенный пользователь". Защищенный пользователь — это пользователь, имеющий смарт-карту или USB-ключ и использующий продукт Dekart RSA Cryptographic Provider.

Продукт Dekart RSA Cryptographic Provider основывается на использовании электронных устройств — USB-ключей и смарт-карт, являющихся функционально аналогичными. Для унификации обозначения в руководстве использован термин электронный Ключ или просто Ключ.

Предисловие 3

Состав и назначение документации

Данное Руководство по эксплуатации является частью следующего набора документов, поставляемого с продуктом Dekart RSA Cryptographic Provider:

• Карточка быстрого запуска, Quick Start Card (QSC), предназначенная для быстрой подготовки продукта Dekart RSA Cryptographic Provider к работе.

• Руководство администратора и Руководство пользователя, предназначенные для описании работы с продуктом Dekart RSA Cryptographic Provider.


Контакты с Dekart

Вы можете обратиться в компанию Dekart по различным вопросам — заказам продуктов, получению информации о продуктах, по технической поддержке и др.

• Сервис работы с покупателями

Для заказа продукта Dekart RSA Cryptographic Provider или получения информации о нем обратитесь в компанию Dekart по:

Телефону +373 22 245580 Электронной почте: [email protected]

или напишите по адресу:

Dekart, SRL. 10 fl, 75, Alba-Iulia Chisinau MD2071 Republic of Moldova

• Техническая поддержка

Вы можете получить техническую поддержку для продукта Dekart RSA Cryptographic Provider, обратившись к нам по:

Телефону +373 22 245580 Электронной почте: [email protected]

Комментарии и отзывы

Ваши комментарии и отзывы по различным вопросам использования продукта Dekart RSA Cryptographic Provider, в том числе замечания по программно-техническим средствам продукта и документации направляйте по адресу: [email protected].

Предисловие 5

Введение в продукт Dekart RSA Cryptographic Provider 7

Введение в продукт Dekart RSA Cryptographic Provider Назначение и особенности продукта Dekart RSA Cryptographic Provider

Зачем нужна защита информации

Характерными чертами современного бизнеса являются его глобализация и мобильность — с одной стороны, бизнес объединяет все больше подразделений, филиалов и партнеров, разбросанных по всему свету, с другой стороны, все больше и больше сотрудников находятся в деловых поездках. Поэтому современный бизнес основывается на оперативном взаимодействии между людьми, через системы электронной почты и другие средства сети Интернет. Благодаря доступности, надежности и открытости эта сеть обрела поистине планетарный охват. Однако именно по причине доступности и открытости Интернета необходимо уделять самое пристальное внимание обеспечению надежной информационной защиты при использовании этой сети. Никто не застрахован от компьютерных вирусов, распространяющихся по Интернету, от хакерских атак, а так же от возможных посягательств на тайну электронной переписки — ее несанкционированного просмотра или фальсификации.

Другой важной особенностью современного бизнеса является все более широкий переход на "безбумажные" технологии, чему в немалой степени способствует использование корпоративных вычислительных сетей и Интернет. Интенсификация ведения бизнеса способствует увеличению потока важных документов, которыми обмениваются субъекты бизнеса. Во времена неторопливой "бумажной" технологии так же обменивались важными бумажными документами, имеющими, как и денежные купюры, определенные степени защиты — эти документы печатались на специальных бланках, скреплялись подписью отправителя, а иногда и специальной печатью. Запечатанный почтовый конверт и строгий почтмейстер так же отнюдь не способствовали краже и фальсификации важных документов. Использование бумаги в качестве носителя документов в определенной степени обеспечивало контролю целостности документа — было достаточно трудно изменить слова документа или вставить в него что-либо. Использование специального бланка, подписи и печати в определенной степени обеспечивало контроль подлинности и авторства документа. Поскольку почерк человека являлся достаточно уникальным признаком, в случае возникновения споров о целостности, подлинности или авторстве документов специальные службы, например почерковедческие экспертизы, быстро устанавливали соответствующий статус-кво (status quo).

В современный электронный документооборот бумага, бланки, подписи и печати "не вписываются" в их традиционном понимании. Однако извечные проблемы — контроль целостности документа, контроль его подлинности и авторства остаются неизменными. Их приходится решать снова и снова, но уже другими, специальными электронными средствами. Например, контроль целостности документа может быть обеспечен его шифрованием с использованием специальных контрольных сумм, а контроль его подлинности и авторства — с помощью уникальной электронно-цифровой подписи (Digital Signature).

При получении по электронной почте обычного сообщения или файла зачастую трудно проверить, действительно ли это сообщение или файл составлены и присланы тем человеком, от чьего имени они отправлены. Нельзя гарантировать, что полученный файл


не был кем-либо прочитан в процессе передачи, что недопустимо по отношению к документам, составляющим коммерческую тайну. В электронный документ можно незаметно внести изменения, которые могут привести к конфликтной ситуации между отправителем и получателем сообщения.

Чтобы решить поставленные выше проблемы в процессе электронного обмена документами необходимо соблюдать специальную технологию защиты, способную гарантировать:

• Сохранение конфиденциальности передаваемых данных.

• Однозначность идентификации отправителя.

• Защиту данных от несанкционированных исправлений.

• Механизм корректного разрешения конфликтных ситуаций.

Первые три задачи могут быть решены с помощью средств криптографической защиты информации, а четвертая — путем специального регулирования обмена электронными документами между отправителем и получателем.

На смену старым бланкам, почерку, подписям и печатям для контроля подлинности и авторства документа и электронных сделок через Интернет приходят цифровая подпись и цифровой сертификат. Цифровая подпись — это электронный эквивалент "рукописной" подписи, специальный зашифрованный набор цифровых данных, который может быть использован для однозначной идентификации отправителя электронного сообщения или подписи документа. С электронной подписью не рождаются, ее выдает специальная сертифицирующая организация или центр сертификации (Certification Authority), который в дальнейшем и будет являться третейским судьей при разрешении проблем подлинности и авторства документа.

Сертификаты и центры сертификации

Любой желающий может подать заявку на получение личного сертификата в специальную службу — центр сертификации (Certification Authority). В зависимости от масштабов и значимости взаимодействия "отправитель – получатель", центром сертификации может быть:

• Специальная организация ведомственного, национального или даже планетарного масштаба. В этом случае центр сертификации проверяет подлинность личности заявителя, а затем генерирует и отсылает ему сертификат в виде файла или цифрового документа.

• Специальный программный продукт в корпоративной сети, автоматически раздающий уникальные цифровые сертификаты аутентифицированным пользователям. В этом случае все споры о подлинности и авторстве документов, подписанных таким сертификатом, разрешает администратор корпоративной сети.

Начиная с момента получения сертификат будет устанавливать Вашу личность так же однозначно, как анализ ДНК, только, в отличие от генетического кода, Вы можете сменить свой электронный код в любой момент. Аналогично тому, как Вашими удостоверениями являются несколько документов — паспорт, водительские права или ID-карточка — Вы можете использовать для самоидентификации несколько сертификатов. Например, один — для связи внутри компании, другой — для внешних коммуникаций, третий — для личной переписки.

Цифровой сертификат должен соответствовать определенному стандарту: содержать открытый ключ субъекта (subject public key) и электронную цифровую подпись его


издателя (issuer). Сертификат также содержит сведения о владельце, например, информацию, которая его дополнительно идентифицирует, срок действия и правила использования сертификата.

В настоящее время наиболее часто используются сертификаты на основе стандарта Международного союза телекоммуникаций ITU-T X.509 версии 3 и рекомендаций IETF (Internet Engineering Task Force) RFC 2459. Эта базовая технология, используемая в инфраструктуре открытых ключей операционной системы Windows 2000.

При формировании запроса пользователя на получение сертификата генерируется пара ключей: открытый и закрытый. Открытый ключ передается в центр сертификации и вносится в сертификат пользователя. Закрытый ключ составляет секретную пару открытому и позволяет реализовать криптографическую защиту информации с асимметричными ключами. Принципы этой защиты определяются Инфраструктурой Открытых Ключей (Public Key Infrastructure), которая была разработана для современных систем электронного документооборота, рассчитанных на массового пользователя.

К числу важнейших механизмов криптографической защиты информации относятся шифрование и электронная цифровая подпись (ЭЦП). Оба эти механизма представляют собой преобразования компьютерных файлов, содержащих документы.

• Шифрование. С точки зрения представления данных в компьютере оба ключа являются последовательностями символов, используемыми соответствующими программами для шифрования, расшифровки, снабжения документа электронной цифровой подписью и проверки этой подписи. Последовательности символов подобраны так, что расшифровать документ, зашифрованный чьим-либо открытым ключом, может только обладатель парного к нему закрытого ключа. Свой закрытый ключ абонент должен сохранять в тайне, а открытый ключ распространяется среди всех потенциальных отправителей документов. В таком случае, если отправитель электронного письма зашифрует отправляемый документ открытым ключом одного из абонентов, то прочитать документ сможет только этот абонент. Шифрование закрывает содержание документа от всех посторонних лиц, кроме получателя — таким образом решается первая из поставленных задач: обеспечивается конфиденциальность переписки.

• Электронная цифровая подпись. Использование ЭЦП документа решает две другие задачи: подпись однозначно подтверждает авторство документа и защищает его содержание от искажения. Программа, выполняющая подписание документа, использует закрытый ключ его автора. Результатом такого подписания является добавление к тексту документа специальной строки, содержащей информацию как о тексте документа, так и о закрытом ключе его автора. Если такой документ получит участник переписки, имеющий открытый ключ автора, то с помощью программы анализа ЭЦП он сможет установить два факта: что подпись действительно принадлежит автору (только ему известен использованный закрытый ключ), и что в текст после подписания не вносились никакие исправления (иначе будет утрачено соответствие между текстом и его подписью).

Сертификаты обеспечивают механизм надежной связи между открытым ключом и субъектом, которому принадлежит соответствующий закрытый ключ. А центр сертификации является гарантом связи между открытым ключом субъекта и содержащейся в сертификате информацией по идентификации этого субъекта. Таким образом, решается четвертая задача — в случае конфликтной ситуации электронный документ, включающий сертификат, может быть предъявлен в качестве доказательства в суде.


Итак, автор документа должен сначала подписать его (с использованием своего закрытого ключа), затем зашифровать (открытым ключом получателя) и отправить. А получатель сначала расшифрует документ (своим закрытым ключом), а затем проверит авторство и сохранность текста (использовав открытый ключ отправителя).

В операционной системе Windows все эти операции выполняются с помощью специального модуля криптографической защиты информации или поставщика службы криптографии, имеющего сертификат Microsoft на использование его для защиты информации, не содержащей сведений, составляющих государственную тайну.

Поставщики службы криптографии

В ОС Windows, начиная с Windows 95, предусмотрена возможность организации защиты информации на основе единого криптографического интерфейса Microsoft CryptoAPI, позволяющего полностью реализовать представление и обмен данными в соответствии с международными рекомендациями и Инфраструктурой Открытых Ключей (Public Key Infrastructure). При этом сами криптографические функции реализованы в отдельно поставляемых криптографических модулях или в поставщиках сервиса криптографии (Cryptographic Service Provider — CSP), доступ к которым через CryptoAPI может получить любое приложение Windows. Поставщики службы криптографии ответственны за создание и хранение ключей шифрования, в том числе закрытые ключи цифровых сертификатов.

В настоящее время поставщики службы криптографии применяются в основном для защиты электронных сообщений, передаваемых в формате S/MIME (Secure Multipurpose Internet Mail Extensions), для которого рекомендовано использование алгоритмов SHA-1, RC2 и т.д. Поставщики службы криптографии обладают различными возможностями, например, реализуют алгоритмы повышенной сложности или позволяют использовать дополнительные аппаратные средства.

С CryptoAPI работают следующие стандартные приложения Microsoft:

• Microsoft Internet Explorer

• Microsoft Outlook Express

• Microsoft Outlook 2000

• Microsoft Internet Information Server

• Microsoft Office XP


Усиление безопасности

Представьте себе, что кто-либо вдруг получит доступ к Вашему компьютеру. Не сомневайтесь, что первым делом он бросится читать адресованные Вам зашифрованные письма и имитировать Вашу цифровую подпись. Он скомпрометирует Ваше доброе имя и передаст всю секретную информацию Вашим конкурентам. Но только если Вы сами позволите ему подобраться к Вашим закрытым ключам. Помните — Ваша безопасность в Ваших руках.

При работе с цифровыми сертификатами поставщики службы криптографии не только выполняют шифрование/расшифрование, но и обеспечивают хранение закрытых ключей в том виде и таким образом, чтобы защитить их от посягательств со стороны возможного злоумышленника. Обычно закрытый ключ, связанный с сертификатом, защищается паролем, который вводится с клавиатуры компьютера и служит средством аутентификации владельца этого сертификата.

Аутентификация — это контрольный процесс, в ходе которого выполняется проверка подлинности личности пользователя, т.е. осуществляется контроль того, что пользователь именно тот человек, за которого себя выдает.

Пароль запрашивается каждый раз, когда пользователь отправляет письмо с ЭЦП или открывает зашифрованное письмо. Теоретически, такой подход дает возможность оперировать закрытым ключом только законному владельцу сертификата, но на самом деле доступ к ключу будет открыт любому, кто знает пароль, то есть смог подглядеть, перехватить или взломать его.

Поэтому многие компании и организации усиливают требования к защите, обоснованно считая стандартную, однофакторную аутентификацию при обращении к сертификату недостаточно надежной, и заменяют ее так называемой усиленной аутентификацией. Усиленная аутентификация основывается на двух факторах:

1. Нечто, что Вы знаете. Например, последовательность символов, используемая в качестве пароля или PIN-кода.

2. Нечто, что Вы имеете. Например, специальное электронное устройство, наличие которого может быть проверено системой при подписании или расшифровке электронного документа. Именно такими устройствами и являются электронные ключи — смарт-карта и USB-ключ.

Этот вид аутентификации называют так же двухфакторной аутентификацией. Именно такую усиленную, двухфакторную аутентификацию и предоставляет продукт Dekart RSA Cryptographic Provider, так как позволяет хранить закрытый ключ сертификата в памяти смарт-карты или USB-ключа — чтобы подписать или расшифровать электронный документ с помощью этого сертификата, нужно, во-первых, иметь смарт-карту или USB-ключ, а во-вторых, знать идентифицирующий PIN-код. Именно эта особенность и позволяет продукту гарантировать неприкосновенность Вашего закрытого ключа, а значит и Ваше законное право на безопасную переписку: даже войдя в систему под Вашим именем, злоумышленник не сможет отправить письмо от Вашего лица или ознакомиться с Вашей конфиденциальной корреспонденцией.

Интеграция с электронными ключами

Основной особенностью продукта Dekart RSA Cryptographic Provider является его тесная интеграция с аппаратными средствами аутентификации — смарт-картами и USB-ключами.


Управление лицензированием продукта Dekart RSA Cryptographic Provider

Все приобретаемое пользователем программное обеспечение к продукту Dekart RSA Cryptographic Provider, включая сам продукт, требует обязательной регистрации в базе данных компании Dekart, SRL. После регистрации пользователю дается регистрационный номер, предъявляя который он сможет получать новые версии ПО для Dekart RSA Cryptographic Provider и техническую поддержку компании Dekart, SRL.

Регистрационную форму можно найти:

1. В коробке с продуктом в бумажном виде.

2. На диске с продуктом в электронном виде.

3. На сайте http://www.dekart.com компании Dekart, SRL.

Возможны следующие варианты регистрации:

1. Если продукт был приобретен пользователем в коробке, то в ней содержится серийный номер этого ПО и регистрационная форма в бумажном и электронном виде. Приобретенное таким образом ПО не имеет никаких ограничений, и после ввода серийного номера при инсталляции продукта, пользователь может полноценно работать с ПО. Однако, чтобы иметь возможность получать новые версии ПО и техническую поддержку продукта, пользователю необходимо зарегистрироваться в компании Dekart, SRL. В регистрационной форме он указывает серийный номер из коробки или диска с продуктом, имя, страну, свой e-mail. После заполнения регистрационной формы пользователю нужно отправить ее в службу поддержки либо по почте, либо по e-mail, либо с сайта компании Dekart, SRL. После регистрации пользователь получит по электронной почте свой регистрационный номер.

2. Если продукт был приобретен пользователем через Интернет, то в этом случае регистрация происходит автоматически при заполнении реквизитов платежной карты. Пользователю пришлют по почте его регистрационный номер. ПО, полученное с сайта компании Dekart, SRL., не будет работать без этого регистрационного номера.

3. В некоторых случаях регистрационный номер может уже содержаться в коробке с продуктом.

Замечание. В случае необходимости процедуру регистрации за пользователя может провести его региональный представитель по предварительной с ним договоренности.

Замечание. Пользователь должен предъявлять свой регистрационный номер каждый раз, когда он обращается в службу поддержки компании Dekart, SRL., когда приобретает новую версию ПО или покупает другую продукцию у компании Dekart, SRL.

Как продукт Dekart RSA Cryptographic Provider решает проблемы защиты информации

Для эффективного использования продукта Dekart RSA Cryptographic Provider выполните следующие подготовительные действия:

1. Внимательно изучите данное руководство.

2. Получите электронный ключ. Каждый такой ключ (USB-ключ или смарт-карта) является строго индивидуальным, поэтому нельзя использовать для работы ключ своего коллеги. Берегите свой ключ, не теряйте и не повреждайте его, без этого ключа Вы не сможете воспользоваться своим сертификатом — подписать или расшифровать


электронный документ. Не доверяйте свой ключ другим людям, всегда носите его с собой, спрятав в бумажник (смарт-карта) или прикрепив, например, к ключам от дома/автомашины (USB-ключ).

3. Подготовьте компьютер. Эта подготовка заключается в инсталляции продукта на ПК.

4. Выберите и настройте один или несколько сертификатов, на работу с продуктом. Если у Вас еще нет сертификата, обратитесь в центр сертификации или к сетевому администратору Вашей организации.

5. Настройте на работу с выбранными сертификатами приложения, для которых требуется усиленная криптографическая защита, например, систему электронной почты. При работе с сертификатами эти приложения будут вызывать методы шифрования, реализуемые продуктом, и аутентифицировать пользователя при подписании и расшифровке электронных писем.

6. Если это необходимо, установите PIN-код электронного ключа (Personal Identification Number, PIN) в среде продукта для санкционированного доступа к закрытому ключу сертификата. Постарайтесь запомнить свой PIN-код и не записывать его в легко доступных местах. Вы сможете изменить PIN-код при помощи специальных средств продукта Dekart RSA Cryptographic Provider. Пожалуйста, не забывайте его и храните втайне. Если вместе с Вашим ключом PIN-код попадет в посторонние руки, нарушитель получит доступ к Вашей информации.

После этого можно приступить к работе с продуктом Dekart RSA Cryptographic Provider, поскольку это совсем несложно, так как продукт реализует защиту по усиленной схеме незаметно для Вас и практически не отличается от уже используемых Вами поставщиков службы криптографии.

Характеристики продукта Dekart RSA Cryptographic Provider

Продукт Dekart RSA Cryptographic Provider обладает следующими характеристиками:

• Алгоритм формирования ЭЦП:

o RSA в соответствии со стандартом компании RSA Data Security, Inc., PKCS №1 v1.5, устанавливающим длину ключа в диапазоне от 384 до 16384.

• Алгоритмы шифрования данных:

o DES в соответствии со стандартом Национального института стандартов и технологий (National Institute of Standards and Technology — NIST) США, NIST FIPS №46, устанавливающим длину ключа 56 бит.

o Triple DES в соответствии со стандартом NIST FIPS №46, устанавливающим длину ключа 112 и 168 бит.

o RC2 в соответствии с требованиями группы Internet Engineering Task Force (IETF), IETF RFC №2268, устанавливающими длину ключа в диапазоне от 1 до 128 бит.

o AES в соответствии со стандартом NIST FIPS №197, устанавливающим длину ключа 128, 192 и 256 бит.

• Алгоритмы аутентификации сообщения (верификации ЭЦП):

o HMAC в соответствии с требованиями IETF RFC №2104.

o MAC в соответствии со стандартом NIST FIPS №113.

• Алгоритмы выработки значения хэш-функции:


o MD2 в соответствии с требованиями IETF RFC №1319.



o SHA в соответствии со стандартом NIST FIPS №180.

• Алгоритм шифрования сеансовых ключей:

o RSA в соответствии со стандартом PKCS №1 v1.5, с поддерживаемой длиной ключа в диапазоне от 384 до 16384 бит.

• Хранение асимметричных ключей в системном реестре с доступом для текущего пользователя компьютера.

• Хранение асимметричных ключей на микропроцессорной карте или USB-ключе с персональным кодом держателя карты.

• Поддерживаются считыватели смарт-карт, отвечающие спецификации PC/SC.

• Поддерживаются смарт-карты с длиной PIN-кода от 0 до 8 алфавитно-цифровых символов.

Состав продукта Dekart RSA Cryptographic Provider

В состав одного пакета Dekart RSA Cryptographic Provider входят следующие обязательные компоненты:

• Компакт-диск с программными компонентами продукта.

• Опционально – электронный Ключ.

• Карточка быстрого запуска QSC (Quick Start Card).

• Данное Руководство по эксплуатации.

В состав одного пакета Dekart RSA Cryptographic Provider могут входить следующие необязательные компоненты (в зависимости от варианта поставки):

• ПО корпорации Microsoft для поддержки смарт-карт.

Программные и технические требования продукта Dekart RSA Cryptographic Provider 15

Работа с продуктом Dekart RSA Cryptographic Provider 17

Работа с продуктом Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider реализует алгоритмы шифрования данных на основе цифровых сертификатов и инфраструктуры открытых ключей Public Key Infrastructure (PKI) через интерфейс CryptoAPI.

Эта технология предполагает, что открытый ключ шифрования, содержащийся в сертификате, связан с поставщиком службы криптографии, хранящим парный ему закрытый ключ. Защита конфиденциальной информации в пользовательских приложениях основана на применении криптоалгоритмов и некоторой личной информации пользователя. Примером такой информации могут служить открытый и закрытый ключи сертификата пользователя, криптоалгоритмы же реализуются соответствующими поставщиками службы криптографии. Таким образом, при выполнении криптографических операций приложение обращается к некоторому сертификату и задействует поставщика службы криптографии, на который этот сертификат настроен.

В данной главе описываются следующие стадии работы с продуктом:

• Подготовка к использованию продукта, которая заключается в том, что пользователь выбирает и настраивает на работу с продуктом какой-либо свой цифровой сертификат.

• Применение продукта и выбранных сертификатов для криптографической защиты сообщений электронной почты Outlook Express и документов Microsoft Office ХР.

• Управление электронными ключами — установка и смена PIN-кода.

Подготовка к использованию продукта Dekart RSA Cryptographic Provider

Продукт Dekart RSA Cryptographic Provider предназначен для работы с сертификатами стандарта Международного союза телекоммуникаций ITU-T X.509.

Если Вы хотите использовать совместно с продуктом уже имеющийся сертификат, перейдите к секции Настройка сертификата на использование продукта, но прежде убедитесь, что у Вас нет электронных документов, зашифрованных с помощью этого сертификата и другого поставщика службы криптографии. Иначе, после смены поставщика службы криптографии, Вы уже не сможете их расшифровать. В этом случае рекомендуется получить новый сертификат, см. подробнее секцию Получение сертификата.

Получение сертификата

В соответствии с корпоративной политикой Вашей компании обратитесь в одну из следующих организаций.

• В службу сертификации своей организации для получения сертификата, который будет служить Вашим удостоверением личности при обмене электронными сообщениями и документами в пределах Вашей организации.

• Независимый центр сертификации, рекомендованный администратором Вашей корпоративной сети для получения сертификатов, используемых для внешних коммуникаций.


Сертифицирующая организация генерирует сертификат, который Вы можете экспортировать на любой доступный Вам ресурс, например на жесткий диск ПК, в виде файла, содержащего сертификат и соответствующий ему закрытый ключ. При экспорте Вы задаете пароль, который требуется для защиты доступа к закрытому ключу при установке сертификата в операционной системе ПК. В момент установки, или импорта, новому сертификату автоматически ставится в соответствие какой-либо имеющийся базовый поставщик службы криптографии.

Сертификат может быть установлен в ОС с помощью приложения Outlook Express следующим образом:

1. Запустите Outlook Express.

2. В меню Tools щелкните Parameters…, выберите вкладку Security и щелкните Digital IDs…. В появившемся окне выберите вкладку Personal и щелкните Import….

3. Щелкните Next > Browse, укажите в диалоговом окне путь к файлу, содержащему Ваш сертификат, и щелкните Open > Next .

4. Введите пароль доступа к сертификату в поле Password и установите флажок в поле Mark the private key as exportable, щелкните Next > Next > Finish.

Замечание. Файл, из которого Вы импортируете сертификат и закрытый ключ, защищен только паролем (однофакторная защита), поэтому сразу после импорта рекомендуется удалить файл с диска ПК или другого ресурса, откуда он может быть украден. Однако этот файл может потребоваться Вам в случае потери закрытого ключа сертификата (при выходе из строя смарт-карты или USB-ключа). Чтобы иметь возможность восстановить секретный ключ, перенесите файл с сертификатом на съемный носитель, например дискету 3,5’, и держите этот носитель в сейфе.

Настройка сертификата на использование продукта

Базовый поставщик службы криптографии, на который настраивается новый сертификат, реализует с помощью пары ключей алгоритмы шифрования, и позволяет установить пароль доступа к закрытому ключу. Однако закрытый ключ при этом хранится в системном реестре Windows, где он практически беззащитен перед угрозой хищения. Как правило, пользователи задают в качестве пароля короткие легко запоминающиеся слова, поэтому "заинтересованное лицо", оснащенное современными средствами взлома, получив доступ к ПК, сможет их разгадать в очень короткий срок. Если секретный ключ попадет в чужие руки, сертификат будет скомпрометирован и всякая защита с его помощью потеряет смысл.

Продукт Dekart RSA Cryptographic Provider сводит риск хищения к нулю, так как позволяет хранить закрытый ключ настроенного на него сертификата в памяти смарт-карты/USB-ключа и реализует при доступе к закрытому ключу процесс двухфакторной аутентификации пользователя.

Чтобы настроить сертификат на Dekart RSA Cryptographic Provider, достаточно изменить закрытый ключ посредством утилиты миграции ключей Cryptographic Key Migration Tool, поставляемой совместно с продуктом. Для этого выполните следующие действия:


1. В меню Start укажите пункт Settings и щелкните по папке Control Panel. Появится окно Control Panel.

Утилита преобразования ключа

2. Для запуска утилиты миграции дважды щелкните значок Dekart Key Migration. Появится окно Cryptographic Key Migration Tool.

Выбор поставщика службы криптографии

3. Щелкните Select и выберите в появившемся списке сертификат, который нужно настроить на Dekart RSA Cryptographic Provider. После этого в окне отобразятся основные сведения о сертификате — в поле Crypto Provider будет указано название поставщик службы криптографии, сопоставленного закрытому ключу этого сертификата.


4. Выберите в раскрывающемся списке Target Crypto Provider поставщик службы криптографии компании Dekart, SRL., например Dekart RSA Cryptographic Provider v1.0, и щелкните Migrate.

Выбор способа хранения закрытого ключа

5. В появившемся окне пользователю предлагается сохранить закрытый ключ на электронном носителе — смарт-карте или USB-ключе.

o Если у Вас есть электронный ключ и Вы хотите использовать его для усиления защиты доступа к Вашему сертификату, щелкните Yes. При этом закрытый ключ сертификата будет записан в защищенную память микрочипа и доступ к нему можно будет получить только при наличии электронного ключа.

o В противном случае щелкните No, и закрытый ключ сертификата будет размещен в системном реестре.

6. Если Вы выбрали усиленный вариант защиты, Вам будет предложено указать в списке Destination Reader окна считыватель смарт-карт с картой, на которой которую Вы собираетесь использовать, или идентификатор USB-ключа.

Замечание. Вы можете также закрыть доступ к данным на электронном ключе специальным PIN-кодом, поставив флажок в поле Change PIN. Более подробные инструкции приведены в секции Изменение PIN-кода.

Подключите смарт-карту или USB-ключ и щелкните OK.

Выбор носителя

7. Если в момент записи на смарт-карте или USB-ключе уже находится закрытый ключ какого-либо сертификата, сопоставленный Dekart RSA Cryptographic Provider, утилита миграции распознает его и предложит заменить.

Замена данных на ключе


Замечание. Dekart RSA Cryptographic Provider не оставляет дубликата закрытого ключа, необходимого для аутентификации владельца сертификата, поэтому после удаления закрытого ключа использовать соответствующий ему сертификат будет невозможно.

o Для того чтобы удалить старый ключ и записать новый, щелкните Yes.

o Если Вы хотите сохранить ключ на другом носителе, щелкните No, чтобы снова вызвать окно, изображенное на рис. Замена данных на ключе.

8. Появление окна, изображенного на рис. Успешное завершение операции, означает, что ключ был записан на карту или сохранен в реестре и теперь приложения, работающие с данным сертификатом, будут обращаться к криптографическим функциям Dekart RSA Cryptographic Provider.

Успешное завершение операции

Замечание. Так как на электронном ключе может храниться только один закрытый ключ, для того чтобы усилить защиту доступа к нескольким сертификатам, потребуется столько же электронных ключей.

Использование продукта Dekart RSA Cryptographic Provider

Продукт Dekart RSA Cryptographic Provider не только реализует алгоритмы шифрования, но и позволяет применять контролировать правомерность использования цифровых сертификатов. С помощью усиленной двухфакторной аутентификации владельца продукт поднимает защиту на качественно новый уровень, поскольку защищает сертификат от несанкционированного использования.

При помощи сертификата, настроенного на работу с продуктом, Вы можете генерировать ЭЦП по усиленной схеме. Такая подпись гарантирует, что содержащие ее сообщения или документы были созданы именно Вами, и не были подменены или исправлены после того, как Вы их отправили или сохранили. Даже если кто-то получит доступ к Вашему компьютеру, например, войдет в ОС под Вашим именем, он не сможет воспользоваться Вашим сертификатом, закрытый ключ от которого надежно хранится в памяти микрочипа, таким образом, подтверждая Ваше уникальное право отправлять письма от своего имени или вносить изменения в важные документы.

Получая сообщения, зашифрованные открытым ключом Вашего сертификата, Вы можете быть уверены, что во время передачи их никто не прочитал, так как для расшифровки необходим Ваш закрытый ключ. И даже если злоумышленник получит доступ к Вашему почтовому ящику, он не сможет ознакомиться с вашей конфиденциальной перепиской, так как необходимый для этого закрытый ключ хранится не на компьютере, который Вы иногда оставляете без присмотра, а на электронном ключе (смарт-карте/eToken/iKey), который Вы всегда держите при себе.


Итак, продукт реализует стандартные функции шифрования, с помощью которых можно:

• Обеспечить защиту электронной переписки.

o Подписывать исходящие сообщения с применением усиленной аутентификации владельца сертификата.

o Шифровать исходящие сообщения.

o Расшифровывать входящие сообщения с применением усиленной аутентификации владельца сертификата.

o Проверять ЭЦП входящих сообщений.

• Обеспечить защиту электронного документооборота.

o Подписывать документы Microsoft Office XP.

o Шифровать документы Microsoft Office XP.

• Обеспечить защищенный и аутентифицированный доступ к WEB-сайтам.

Защита электронной почты

Продукт Dekart RSA Cryptographic Provider позволяет обеспечить защиту сообщений электронной почты, соответствующих спецификации Secure Multi-Purpose Internet Mail Extensions (S/MIME). Эта спецификация поддерживается наиболее распространенными почтовыми приложениями, работающими с CryptoAPI, в том числе приложением Outlook Express, на примере которого далее будет рассмотрено использование продукта.

Dekart RSA Cryptographic Provider реализует стандартные функции шифрования, рекомендованные для защиты электронных сообщений, и позволяет, прежде всего, создавать электронные цифровые подписи.

При генерации ЭЦП приложение Outlook Express обращается к поставщику службы криптографии какого-либо сертификата пользователя, установленного в ОС. Если Вашей учетной записи в ОС соответствуют несколько установленных сертификатов, назначьте сертификат, настроенный на продукт, используемым по умолчанию. Для этого выполните следующие действия:

1. Запустите приложение Outlook Express.

2. Щелкните Tools > Parameters… > Security в окне Options > Digital IDs… и выберите вкладку Personal.

3. Выделите в списке строчку с сертификатом, который Вы будете использовать по умолчанию и щелкните OK.

О создании ЭЦП см. подробнее секцию Использование продукта при генерации электронной цифровой подписи.

Чтобы зашифровать сообщение, отправляемое Вашему абоненту, Вы должны получить у него сертификат, содержащий открытый ключ, применяемый при шифровании. Сертификат абонента записывается в реестр Вашей ОС, когда Вы впервые открываете полученное от него подписанное сообщение. Наличие этого сертификата можно проверить в списке вкладки Other Users окна Options. В момент отправки этому абоненту зашифрованного сообщения Outlook Express будет обращаться к любому из установленных в ОС поставщиков службы криптографии, реализующему указанный в сертификате алгоритм шифрования, в том числе и к продукту Dekart RSA Cryptographic Provider.


Аналогично криптографические алгоритмы продукта могут быть использованы для расшифровки ЭЦП входящего сообщения, контроля целостности сообщения и проверки идентичности содержащегося в подписи сертификата отправителя и его сертификата, уже хранящегося в реестре ОС. Проверка ЭЦП осуществляется автоматически в момент открытия сообщения и в случае каких-либо несоответствий выдается сообщение об ошибке.

Можно настроить приложение Outlook Express так, чтобы оно автоматически подписывало и шифровало все исходящие сообщения. Для этого нужно во вкладке Personal диалогового окна Options установить флажки в поле Encrypt contents and attachments for all outgoing messages и в поле Digitally sign all outgoing messages соответственно.

Если входящее сообщение было зашифровано открытым ключом сертификата, настроенного на работу с продуктом, Outlook Express будет использовать для расшифровки именно этот сертификат и продукт Dekart RSA Cryptographic Provider, независимо от того, какой сертификат в данный момент используется по умолчанию. Подробнее см. секцию Использование продукта при чтении зашифрованных сообщений.

Использование продукта при генерации электронной цифровой подписи

Для того чтобы подписать сообщение в Outlook Express, выполните следующие действия:

1. Запустите приложение Outlook Express. Создайте новое сообщение, щелкнув New > Message. В окне New Message составьте текст сообщения, укажите получателя в поле To и тему в поле Topic.

2. В меню Tools щелкните Digitally Sign. В правой части окна появится значок цифровой подписи.

3. Чтобы отправить сообщение, щелкните Send. Outlook Express генерирует цифровую подпись в момент отправки сообщения. Для этого он обращается к криптографическим функциям продукта и закрытому ключу. Если сертификат настроен на продукт так, что закрытый ключ хранится на электронном ключе (двухфакторная защита), система усиленной защиты в диалоговом окне аутентификации защищенного пользователя предложит Вам подключить электронный ключ.

Замечание. Установив флажок в поле Change PIN окна, изображенного на рис. Аутентификация пользователя, и подключив после этого электронный ключ, вы сможете изменить его PIN-код. Более подробные инструкции Вы найдете в секции Изменение PIN-кода.

Аутентификация пользователя


4. Подключите электронный носитель Вашего закрытого ключа. Если электронный ключ защищен PIN-кодом, система усиленной аутентификации предложит его ввести.

Ввод PIN-кода

5. Введите PIN-код в поле Enter your PIN и щелкните OK. Получив доступ к ключу, система усиленной защиты произведет все необходимые операции.

Замечание. Будьте внимательны — при использовании электронного ключа после нескольких неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится временно недоступной. Для получения дополнительной информации по вопросам разблокирования ключа обращайтесь в службу технической поддержки Dekart, SRL.

6. Не забудьте отключить электронный ключ.

Использование продукта при чтении зашифрованных сообщений

Чтобы открыть зашифрованное сообщение, выполните следующие действия.

1. Запустите приложение Outlook Express. Щелкните папку Входящие со списком сообщений, в котором все зашифрованные сообщения будут помечены значком шифрования. Выберите в списке и дважды щелкните нужное сообщение. Приложение обратится к Dekart RSA Cryptographic Provider, и Вам будет предложено предъявить Ваш идентификатор — смарт-карту/USB-ключ с закрытым ключом.

2. Подключите электронный ключ и при необходимости введите PIN-код. Если требуется сменить PIN-код, установите флажок в поле Change PIN. См. подробнее секцию Генерация электронной цифровой подписи.

3. Введите PIN-код, если это предусмотрено, и щелкните OK. Система расшифрует сообщение и откроет его. Теперь Вы можете его прочитать!!!


Как только Вы закроете сообщение, оно опять станет недоступным для посторонних. Чтобы прочитать его в будущем, Вам снова придется пройти процесс усиленной аутентификации.

Защита документооборота на базе Microsoft Office XP

Продукт Dekart RSA Cryptographic Provider может быть использован для контроля авторства и целостности информации при организации общекорпоративного хранилища документов, доступ к которым имеют все сотрудники.

Комплекс Microsoft Office XP дает возможность использовать цифровые сертификаты для подписи создаваемых документов. Продукт Dekart RSA Cryptographic Provider позволяет применять при этом двухфакторную аутентификацию автора для усиления защиты создаваемых документов от несанкционированной модификации. Сертификат,


указанный в ЭЦП документа свидетельствует о том, что этот документ не был изменен с тех пор, как его подписал и сохранил владелец этого сертификата. См. подробнее секцию Генерация и проверка ЭЦП документа Microsoft Office XP.

Кроме того, приложения Microsoft Office XP позволяют отправлять создаваемые в них документы по электронной почте. При отправлении документ может быть зашифрован с помощью Dekart RSA Cryptographic Provider так, чтобы для его открытия требовалась двухфакторная аутентификация адресата. См. подробнее секцию Шифрование и расшифрование документа Microsoft Office XP.

Генерация и проверка ЭЦП документа Microsoft Office XP

Для того чтобы подписать документ Microsoft Office XP, выполните следующие действия:

1. Запустите приложение Microsoft Office XP, например Microsoft Word XP. Щелкнув File > Open, откройте документ, который нужно подписать. Внесите необходимые изменения, если это требуется, и сохраните документ щелчком File > Save или File > Save As….

2. Щелкните Tools > Properties. В появившемся окне выберите вкладку Security и щелкните Digital IDs. В окне Digital ID щелкните Add….

3. В предложенном списке выберите сертификат, которым Вы хотите подписать документ, и щелкните OK. Если сертификат настроен на продукт Dekart RSA Cryptographic Provider так, что закрытый ключ хранится на электронном ключе (двухфакторная защита), система усиленной защиты в диалоговом окне аутентификации защищенного пользователя предложит Вам подключить электронный ключ.

Замечание. Установив флажок в поле Change PIN и подключив после этого электронный ключ, вы сможете изменить его PIN-код. Более подробные инструкции Вы найдете в секции Изменение PIN-кода.





7. Щелкните OK в окне Digital ID и в окне Properties. Теперь документ содержит цифровую подпись, включающую Ваш сертификат.

8. Закройте документ.

Замечание. Если Вы внесете какие-либо изменения в документ и сохраните его после подписания, ЭЦП будет автоматически стерта. Чтобы восстановить ЭЦП, подпишите документ еще раз.

ЭЦП документа Microsoft Office XP можно проверить следующим образом:


1. Запустите приложение Microsoft Office XP, например Microsoft Word XP. Щелкнув File > Open, откройте документ с ЭЦП.

2. Щелкните Tools > Properties. В появившемся окне выберите вкладку Security и щелкните Digital IDs. В окне Digital ID отображается список сертификатов, с помощью которых был подписан данный документ.

Замечание. Если в документе, который предположительно должен содержать ЭЦП, список сертификатов пуст, это означает, что документ был модифицирован после подписания.

3. Закройте диалоговые окна Digital ID и Properties.

4. Ознакомьтесь с документом или закройте его.

Шифрование и расшифрование документа Microsoft Office XP

Для того, чтобы зашифровать документ Microsoft Office XP, выполните следующие действия:

1. Запустите приложение Microsoft Office XP, например Microsoft Word XP. Щелкнув File > Open, откройте документ с ЭЦП.

2. Щелкните File > Send > Mail recipient (as attachment). В результате запустится почтовое приложение, установленное в ОС по умолчанию, например Outlook Express, и откроется окно создания нового сообщения. В поле Attach этого окна отобразится ярлык отправляемого документа.

3. Укажите адрес получателя и тему. При необходимости введите текст сообщения. Зашифруйте сообщение с помощью сертификата получателя и отправьте его. Для получения дополнительной информации см. секцию Защита электронной почты.

Зашифрованный документ может быть открыт в приложении Outlook Express. Для этого нужно расшифровать и открыть содержащее его сообщение и дважды щелкнуть ярлык документа. Если сертификат, с помощью которого было зашифровано сообщение, настроен на продукт Dekart RSA Cryptographic Provider и закрытый ключ хранится в памяти смарт-карты или USB-ключа, при расшифровке сообщения пользователь должен проходить двухфакторную аутентификацию. Для получения дополнительной информации см. секцию Защита электронной почты.

Замечание. Вы можете сохранить зашифрованный документ на диске, только расшифровав его. При этом защита документа будет снята.

Использование продукта для защиты доступа к WEB-сайту

Продукт Dekart RSA Cryptographic Provider может быть использован для организации доступа по Интернет к защищенным WEB-сайтам: внутренним сайтам организации или любым другим сайтам, где требуется аутентификация пользователей.

Защищенный WEB-сайт может содержать конфиденциальную информацию (внутренние приказы и распоряжения, адреса и телефоны сотрудников, состояние проектов и т.д.), предназначенную для ограниченного круга пользователей. Доступ к сайту обеспечивается на основании цифровых сертификатов, открытые ключи которых содержатся на WEB-сервере. В процессе аутентификации пользователь должен предъявить закрытый ключ. Если закрытый ключ хранится в защищенной памяти смарт-карты или USB-ключа, и сам пользователь, и организаторы сайта могут быть уверены, что этим сертификатом для доступа к сайту не воспользуется посторонний.


Для того чтобы получить доступ к защищенному WEB-сайту посредством двухфакторной аутентификации, выполните следующие действия:

1. Запустите WEB-обозреватель, например Internet Explorer. В поле Address введите адрес защищенного WEB-сайта и нажмите Enter на клавиатуре.

2. В момент подключения к WEB-сайту будет выведено диалоговое окно, изображенное на рис. Аутентификация клиента WEB-сервера и содержащее список доступных сертификатов, которыми Вы можете воспользоваться при аутентификации на данном WEB-сервере. Выберите в нем нужный сертификат и щелкните OK.

Аутентификация клиента WEB-сервера

3. Если сертификат настроен на продукт Dekart RSA Cryptographic Provider так, что закрытый ключ хранится на электронном ключе (двухфакторная защита), система усиленной защиты в диалоговом окне аутентификации защищенного пользователя предложит Вам подключить электронный ключ.

Замечание. Установив флажок в поле Change PIN и подключив после этого электронный ключ, вы сможете изменить его PIN-код. Более подробные инструкции Вы найдете в секции Изменение PIN-кода.



Замечание. Будьте внимательны — при использовании смарт-карт/eToken PRO после трех неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится временно недоступной; при использовании iKey после десяти неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится недоступной навсегда. Для получения дополнительной информации по вопросам разблокирования ключа обращайтесь в службу технической поддержки Dekart, SRL.

6. Если Ваш сертификат действителен для доступа к данному WEB-серверу, и Вы прошли процесс двухфакторной аутентификации с помощью USB-ключа или смарт-карты, Вы получаете доступ к WEB-сайту через безопасное соединение (Secure Sockets


Layer — SSL). При этом в правом нижнем углу окна приложения Internet Explorer должен появиться символ замка.

7. Отключите электронный ключ.

Изменение PIN-кода

Dekart RSA Cryptographic Provider устанавливает и поддерживает в электронном ключе специальный PIN-код, используемый только для доступа к закрытому ключу. Электронный ключ, защищенный PIN-кодом, является средством усиленной аутентификации, так как при наличии PIN-кода он не может быть использован никем, кроме своего владельца. Есть три причины, по которым PIN-код может быть изменен:

• По умолчанию PIN-код ключа является пустым и в целях защиты обязательно должен быть установлен.

• PIN-код может меняться периодически в зависимости от соответствующих корпоративных инструкций.

• PIN-код может быть изменен, если он стал известен постороннему лицу, например, его подглядели.

Dekart RSA Cryptographic Provider предоставляет возможность изменить PIN-код электронного ключа при его подключении к компьютеру в момент генерации ЭЦП, расшифрования или записи на электронный носитель нового закрытого ключа. PIN-код может быть изменен следующим образом:

1. При появлении диалогового окна, изображенного на рис. Опция смены PIN-кода, установите флажок в поле Change PIN, подключите электронный ключ и щелкните OK.

Опция смены PIN-кода

2. Если ключ уже защищен PIN-кодом, в поле Enter your PIN введите текущий PIN-код и щелкните OK.



Установка нового PIN-кода

3. Заполните поля в появившемся диалоговом окне, изображенном на рис. Установка нового PIN-кода. Для того чтобы установить новый PIN-код, необходимо активировать флаг Key Holder verification, в поле New PIN ввести новое значение PIN-кода, а в поле Confirm PIN — подтвердить его. Длина PIN-кода может быть от одного до восьми символов (с учетом регистра). Если флаг Key Holder verification не активировать, то в дальнейшем доступ к данным электронного ключа будет осуществляться без ввода PIN-кода.

4. Щелкните Accept. После этого все изменения будут записаны в память ключа.


Обнаружение и устранение неисправностей 31

Обнаружение и устранение неисправностей Если пользователь в процессе работы с продуктом Dekart RSA Cryptographic Provider получает некоторое диагностическое сообщение, ему необходимо обратиться к администратору.


Глоссарий 33

Глоссарий Term Description

Application Programming Interface (API)

Программный интерфейс, используемый для взаимодействия приложения и ОС.

Basic Input/Output System См. BIOS

BIOS Базовая система ввода-вывода — независимая от операционной системы программа поддержки операций с аппаратными средствами.

BIOS Setup Utility Утилита изменения настроек BIOS.

COM-порт Последовательный коммуникационный порт ПК.

Electrically Erasable Programmable Read-Only Memory EEPROM

Энергонезависимая, электронно-перепрограммируемая постоянная память.

eToken* Это специальное устройство, называемое так же ключом eToken, изготовленное компанией Aladdin Knowledge Systems в виде брелка и используемое в продукте Dekart RSA Cryptographic Provider. Это полнофункциональный аналог смарт-карты, подключаемый к порту USB и используемый как средство идентификации пользователя.

eToken Run Time Environment

Среда выполнения eToken Run Time Environment является универсальным программным интерфейсом между приложениями, ориентированными на использование eToken, и устройством eToken. На ее основе можно создавать различные eToken-ориентированные продукты, не зная особенностей функционирования самого устройства. Ее разработчиком и поставщиком является компания Aladdin Knowledge Systems.

iKey* Это специальное устройство, называемое так же ключом iKey, изготовленное компанией Rainbow Technologies в виде брелка и используемое в продукте Dekart RSA Cryptographic Provider. Это полнофункциональный аналог смарт-карты, подключаемый к порту USB и используемый как средство идентификации пользователя.

International Organization for Standardization (ISO)

Международная организация по стандартизации.

IRDA-порт Порт стандарта на инфракрасную передачу данных и вывод на печать, разработанный ассоциацией передачи данных в инфракрасном диапазоне (Infrared Data Association).

ISO 7816 Перечень требований к физическим свойствам считывания и протоколам информационного обмена смарт-карт.


Microsoft Windows Installer (MSI)

Утилита Microsoft Windows Installer (MSI) позволяет более эффективно инсталлировать и настраивать приложения. Например, при возникновении сбоев во время инсталляции утилита восстанавливает исходное состояние компьютера. Эта утилита входит в состав ОС Windows 2000, Windows Millennium и Windows ХР, а пользователи Windows 95/98 и NT 4.0 могут получить ее бесплатно в виде свободно распространяемого файла.

MSI См. Microsoft Windows Installer

PCMCIA-порт Порт, отвечающий спецификации PCMCIA (Personal Computer Memory Card International Association, Международная ассоциация производителей плат памяти для персональных компьютеров типа IBM PC)

Personal Computer/Smart Card (PC/SC)

Спецификация считывателей смарт-карт, поддерживаемая продуктом Dekart RSA Cryptographic Provider.

Personal Identification Number

См. PIN code

PIN-код Personal Identification Number, используемый для подтверждения правомочности доступа к информации, хранящейся в памяти смарт-карты или USB-ключа. PIN-код устанавливается самостоятельно пользователем ключа с помощью использующего его продукта или с помощью специальной утилиты (например, среды RTE).

Plug-and-play Стандарт фирм Microsoft, Intel и др., преследующий цель упрощения подключения к компьютеру дополнительных устройств. Операционная система (Windows 95, Windows 98, Windows 2000 Professional, Windows XP, Windows Me) берет на себя распознавание и настройку подключенного нового устройства без или с минимальным вмешательством пользователя.

PS/2-порт Порт для подключения к ПК клавиатуры и мыши.

Public Key Infrastructure (PKI)

Инфраструктура Открытых Ключей — это комплекс, включающий архитектуру, организацию, технологии, приемы и методики, и позволяющий реализовать криптографические системы с открытым ключом на основе цифровых сертификатов. В таких системах используется пара криптографических ключей, связанных между собой некоторым математическим отношением. Открытый ключ свободно распространяется и применяется для шифрования данных и верификации цифровых подписей, а закрытый известен только своему владельцу, и применяется для расшифрования данных и генерации цифровой подписи.

Random Access Memory (RAM)

Динамическая оперативная память.

Read Only Memory (ROM)

Постоянная память, данные на которую записываются производителем электронных устройств.


RTE См. eToken Run Time Environment

Universal Serial Bus

(USB)

Универсальная последовательная шина, посредством которой можно подсоединять и отсоединять периферию, не вскрывая корпус ПК и даже не выключая питания. USB автоматически обнаруживает эти устройства и конфигурирует соответствующее ПО.

USB См. Universal Serial Bus

USB-ключ Это специальное устройство, подключаемое к порту USB компьютера, являющееся безопасным контейнером и предназначенное для хранения криптографических ключей. Продукт Dekart RSA Cryptographic Provider поддерживает ключи eToken PRO, eToken R2 компании Aladdin eToken и iKey 2000, iKey 2032 компании Rainbow Technologies.

Аутентификация Это контрольный процесс, в ходе которого выполняется проверка подлинности личности пользователя, т.е. осуществляется контроль того, что пользователь именно тот человек, за которого себя выдает.

Биометрическая аутентификация

Аутентификация пользователя, основанная на специфических особенностях его тела, контроль которых осуществляется с помощью специального биометрического оборудования. Биометрическая аутентификация может основываться на отпечатках пальцев, радужной оболочке, голосе и других характеристиках пользователя.

Двухфакторная аутентификация

Это контрольный процесс проверки подлинности личности пользователя, основанный на двух следующих факторах:

Нечто, что Вы знаете, например, имя пользователя и пароль.

Нечто, что Вы имеете, например, смарт-карта или устройство eToken.

Драйвер Программа управления вводом-выводом, осуществляющая интерфейсные функции между приложениями/ОС и устройством, подключаемым к ПК.

Защищенный пользователь

Пользователь продукта Dekart RSA Cryptographic Provider, имеющий персональный электронный ключ и проходящий усиленную аутентификацию.

Идентификация Это контрольный процесс, с помощью которого по уникальному идентификатору определяется, известен ли данный конкретный пользователь системе.

Издатель сертификата См. Центр сертификации

Ключ eToken См. eToken

Ключ iKey См. iKey

Лицензия на использование продукта

Это регистрационный номер пользователя в базе данных компании Dekart, SRL., подтверждающий правомочность использования продукта.


Однофакторная или стандартная аутентификация

Это контрольный процесс проверки подлинности личности пользователя, осуществляемый стандартными средствами ОС и основанный на одном проверочном факторе:

Нечто, что Вы знаете — имя пользователя и пароль.

Закрытый ключ Это криптографический ключ, который генерируется при создании запроса на получение цифрового сертификата и в силу своей секретности обеспечивает совместно с открытым ключом надежную криптографическую защиту информации на основе Инфраструктуры Открытых Ключей (Public Key Infrastructure).

Открытый ключ Это криптографический ключ, который генерируется при создании запроса на получение цифрового сертификата, вносится в сертификат и свободно распространяется. Открытый ключ совместно с закрытым ключом позволяет реализовать криптографическую защиту информации на основе Инфраструктуры Открытых Ключей (Public Key Infrastructure).

Цифровой сертификат Это цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Цифровой сертификат содержит открытый ключ (public key), электронную цифровую подпись издателя (issuer), сведения о владельце, срок действия и другую информацию.

Смарт-карта Это пластиковая карта со встроенным микрочипом, включающим блок защищенной памяти и аппаратно реализующим криптоалгоритмы — механизмы шифрования/расшифрования секретной информации. Смарт-карта подключается к компьютеру через специальное устройство — считыватель смарт-карт.

Считыватель смарт-карт

Устройство, позволяющее работать со смарт-картами. Считыватель может быть внутренним (подключается как стандартный дисковод 3,5’) и внешним (подключается через порт COM, PS/2, USB, PCMCIA, IRDA или др.).

Усиленная аутентификация

Это контрольный процесс проверки подлинности личности пользователя, основанный, как минимум, на двух из трех следующих факторов:

Нечто, что Вы знаете, например, имя пользователя и пароль.

Нечто, что Вы имеете, например, смарт-карта или устройство eToken.

Нечто, что Вас определяет, например, отпечатки пальцев или другие особенности Вашего тела.

Центр сертификации Специальная организация, обладающая полномочиями для выдачи цифровых сертификатов, которая и выступает гарантом прав владельцев этих сертификатов в случае возникновения связанных с ними конфликтных ситуаций.


Электронная цифровая подпись (ЭЦП)

Это специальный зашифрованный набор цифровых данных, который может быть использован для однозначной идентификации отправителя электронного сообщения или подписи документа.

Электронный ключ Смарт-карта или eToken.

Электронный носитель См. Электронный ключ


Date post:	24-Mar-2016
Category:	Documents
Upload:	olga-petrova
View:	237 times
Download:	2 times

Dekart CSP User Guide

Documents