АТ Інститут Інформаційних Технологій Комплекс засобів криптографічного захисту інформації на платформі IBM Lotus Заступник головного конструктора Горбенко Ю.І. Адреса: м. Харків, вул. Бакуліна, 12 Тел./факс: 8(0572) Комплекси та засоби КЗІ

Призначення комплексу Комплекс призначений для забезпечення криптографічного захисту інформації у корпоративних системах електронного документообігу та пошти, створених на основі засобів програмної платформи IBM Lotus. Функціональне призначення комплексу - захист електронних поштових повідомлень та документів, що передаються по електронній пошті (циркулюють в системах електронного документообігу), а також управління ключовою системою.

Склад комплексу До складу комплексу входять: ● засоби центра сертифікації ключів; ● засоби захисту електронної пошти та документообігу. Засоби центра сертифікації ключів призначені для управління ключовою системою комплексу, що включає керування ключовими даними та документами, що використовуються у засоби захисту електронної пошти та документообігу. Засоби захисту електронної пошти та документообігу призначені для захисту електронних поштових повідомлень та електронних документів з використанням механізмів шифрування та вироблення ЕЦП.

Схема інтеграції комплексу з IBM Lotus Комплекс застосовується у наступній конфігурації (структурна схема).

Функції засобів центра сертифікації Засоби центра сертифікації ключів призначені для управління ключовою системою, що використовується у засобах шифрування та вироблення ЕЦП. Ключова система комплексу базується на Інфраструктурі Відкритих Ключів (ІВК, PKI). Основні функції засобів центра сертифікації : ● генерація ключових даних (секретних, відкритих ключів і т ін.); ● формування ключових документів (особистих ключів та сертифікатів центрів сертифікації і абонентів систем електронної пошти та документообігу); ● розподіл ключових документів (особистих ключів на ключових носіях, сертифікатів через Domino Directory і окремі адресні книги); ● блокування (відкликання) та розблокування (поновлення дії) сертифікатів відкритих ключів; ● зберігання архівів сертифікатів відкритих ключів користувачів; ● знищення ключових документів (особистих ключів з носіїв та сертифікатів із адресних книг).

Склад засобів центра сертифікації До складу засобів центра сертифікації входять: ● модуль адміністратора сертифікації (Notes Database File з інтерфейсом для середовища Lotus Notes 6.5); ● бібліотеки (DLL) криптографічних перетворень та генерації ключових даних; ● апаратний генератор випадкових чисел “Гряда-3” з драйверами.

Характеристики засобів центра сертифікації Засоби центра сертифікації виконують генерацію наступних типів ключових даних: ● секретні та відкриті ключі ЕЦП для ГОСТ і ДСТУ ; ● секретні та відкриті ключі шифрування для криптографічних протоколів на основі Діффі-Хеллмана (X9.42 та X9.63). Генерацію послідовностей випадкових чисел при генерації ключових даних здійснює апаратний генератор “Гряда-3”. Засоби центра сертифікації виконують формування наступних типів ключових документів: ● особисті ключі відповідно до PKCS#8; ● сертифікати відкритих ключів відповідно до X.509v3. В якості ключових носіїв для запису особистих ключів використовуються дискети, оптичні диски (компакт-диски) та з’ємні диски (електронні flash- диски і т.ін.). Сертифікати відкритих ключів зберігаються у адресних книгах та каталогах (Domino Directory) серверів Lotus Domino. Для реплікації адресних книг використовуються штатні механізми Lotus.

Інтерфейс користувача центра сертифікації

Функції засобів захисту електронної пошти Засоби захисту електронної пошти призначені для захисту електронних поштових повідомлень (листів) та вкладень, що передаються між поштовими клієнтами Lotus Notes з використанням механізмів шифрування та вироблення і перевірки ЕЦП. Основні функції засобів: ● доступ до ключових документів (особистих ключів на ключових носіях і сертифікатів центра сертифікації та абонентів електронної пошти у адресних книгах серверів Lotus Domino); ● вироблення ЕЦП та зашифрування електронних листів і їхніх вкладень; ● розшифрування та перевірку ЕЦП електронних листів і їхніх вкладень.

Склад засобів захисту електронної пошти До складу засобів захисту електронної пошти входять: ● модуль модифікованого шаблону поштового клієнта (Notes Template File з інтерфейсом для середовища Lotus Notes) для версій 5.0.9, та 6.5; ● модуль журнала аудита (Notes Database File); ● бібліотеки (DLL) криптографічних перетворень.

Характеристики засобів захисту електронної пошти Для захисту електронних поштових повідомлень використовуються наступні типи криптографічних алгоритмів та протоколів: ● шифрування за ГОСТ ; ● вироблення та перевірки ЕЦП за ГОСТ і ДСТУ ; ● гешування за ГОСТ ; ● розподілу ключових даних на основі Діффі-Хеллмана (X9.42 та X9.63). У засобах генеруються такі типи ключових даних: ● сеансові ключі для ГОСТ ; ● синхропосилки для ГОСТ Для генерації ключових даних використовується алгоритм генератора випадкових двійкових послідовностей із ДСТУ

Інтерфейс користувача засобів захисту електронної пошти

Функції засобів захисту електронного документообігу Засоби захисту електронного документообігу призначені для захисту електронних документів, що циркулюють та зберігаються у системах електронного документообігу (на клієнтах Lotus Notes і серверах Lotus Domino) з використанням механізмів шифрування та вироблення і перевірки ЕЦП. Основні функції засобів: ● доступ до ключових документів (особистих ключів на ключових носіях і сертифікатів центра сертифікації та абонентів системи електронного документообігу у адресних книгах серверів Lotus Domino і документах); ● вироблення та перевірка ЕЦП електронних документів при їх створенні, обробці та зберіганні; ● шифрування електронних документів при передачі.

Склад засобів захисту електронного документообігу До складу засобів захисту електронного документообігу входять: ● модуль шаблону функцій захисту (Notes Template File); ● модуль журнала аудита (Notes Database File); ● бібліотеки (DLL) криптографічних перетворень.

Засоби аудита Усі дії адміністратора центра сертифікації, абонентів електронної пошти та систем електронного документообігу відслідковуються та реєструються в журналах аудита.

Інтерфейс користувача засобів перегляду журналів аудита

Особливості комплексу Засоби керування та інтерфейсні модулі комплексу реалізовані у вигляді додатків середовища Lotus і інтегровані безпосередньо у Lotus Notes. Криптографічні модулі реалізовані у вигляді бібліотек, які підключаються до Lotus Notes. Бази даних сертифікатів інтегровані у адресні книги серверів Lotus Domino та каталоги Domino Directory, що дає можливість інтегрувати механізми доступу до ключової системи із штатними механізмами контролю доступу та автентифікації користувачів Lotus Notes.

Висновки Безпосередня інтеграція вітчизняних засобів КЗІ та механізмів керування ключовою у програмну платформу IBM Lotus дозволяє використовувати комплекс у системах корпоративної пошти та електронного документообігу на базі IBM Lotus. Комплекс отримав експертне заключення ДСТСЗІ СБ України.