Вопрос №2. Организация работы удостоверяющего центра УЦ и защищенного электронного документооборота. Узлы УЦ.
Описание работы УЦ, организация защищенного документооборота
Режимы регистрации пользователей Удостоверяющего Центра
Централизованный режим
При централизованном режиме регистрации, идентификация пользователя осуществляется администратором Удостоверяющего Центра на основании документов, удостоверяющих личность пользователя, при личном прибытии регистрируемого пользователя в УЦ.
Администратор с соответствующей утилиты Центра Регистрации формирует запрос на регистрацию в электронной форме от имени пользователя и принимает его.
Распределенный режим
Распределенный режим регистрации пользователя является опциональным режимом и используется при невозможности (по разным причинам, в том числе и по причине экономической целесообразности) регистрации пользователей в централизованном режиме.
Идентификация пользователя осуществляется доверенным лицом (например, нотариусом) путем заверения заявления на регистрацию пользователя, на основании документов, удостоверяющих личность пользователя.
Регистрация пользователя в распределенном режиме на УЦ осуществляется администратором Удостоверяющего Центра на основании заверенного заявления на регистрацию и запроса на регистрацию в электронной форме путем принятия запроса на регистрацию в электронной форме.
Управление ключами и сертификатами открытых ключей пользователей УЦ
Централизованный режим
Пользователи УЦ получают ключи и сертификаты открытых ключей у ответственного сотрудника (администратора) УЦ.
Администратор выполняет процедуры генерации ключей и сертификатов пользователей на своем рабочем месте с использованием ПО АРМ администратора Центра Регистрации.
Управление сертификатами пользователей в течении их жизненного цикла, также осуществляется администратором УЦ.
Распределенный режим
Пользователи Удостоверяющего Центра самостоятельно осуществляют процедуру генерации ключей и формирование запросов на сертификат открытого ключа.
Выполнение этих процедур осуществляется с использованием АРМ зарегистрированного пользователя на рабочем месте.
Поступающие запросы на сертификаты открытых ключей пользователей обрабатываются администратором УЦ с использованием АРМ администратора Центра Регистрации.
Установку на рабочем месте выпущенных сертификатов открытых лючей пользователь осуществляет также с использованием АРМ зарегистрированного пользователя. На АРМ зарегистрированного пользователя предоставляется возможность осуществить формирование запроса на отзыв (приостановление/возобновление действия) сертификатов открытых ключей.
Режимы работы Удостоверяющего Центра
Режимы работы Удостоверяющего Центра основаны на комбинациях режимов регистрации пользователей и управления ключами и сертификатами.
Регистрация пользователей в централизованном режиме по «не доверенной» схеме и распределенное управление ключами и сертификатами пользователя
Режимы работы Удостоверяющего Центра основаны на комбинациях режимов регистрации пользователей и управления ключами и сертификатами.
«Не доверенная» схема означает, что пользователь не доверяет ключам, полученным от сотрудника УЦ. Ниже, под служебным сертификатом понимается сертификат открытого ключа, ограниченный по области использования и с коротким сроком действия, временный сертификат.
Общий алгоритм схемы выглядит следующим образом:
Администратор («оператор») Центра Регистрации формирует запрос на регистрацию в электронной форме от имени пользователя и принимает его;
с использованием служебного закрытого ключа и сертификата пользователь с помощью АРМ Абонента формирует запрос на сертификат и ставит его в очередь на обработку в Центр Регистрации;
администратор с использованием ПО АРМ администратора Центра Регистрации обрабатывает стоящий в очереди запрос на сертификат;
пользователь с помощью АРМ Абонента получает сертификат на рабочие ключи, изготовленные им на своем рабочем месте, и устанавливает его;
пользователь использует рабочие ключи и сертификат в информационной системе;
с использованием рабочего закрытого ключа и сертификата пользователь с помощью АРМ Абонента формирует запрос на новый рабочий сертификат и ставит его в очередь на обработку в Центр Регистрации;
администратор с использованием ПО АРМ администратора Центра Регистрации обрабатывает стоящий в очереди запрос на сертификат;
пользователь с помощью АРМ Абонента получает сертификат на новые рабочие ключи, изготовленные им на своем рабочем месте, и устанавливает его;
пользователь использует рабочие ключи и сертификат в информационной системе.
Регистрация пользователей в централизованном режиме по «доверенной» схеме и распределенное управление ключами и сертификатами пользователя
Допускается изготовление и передача пользователю рабочих ключей и сертификата открытого ключа при регистрации в централизованном режиме. Этот режим используется когда пользователь, по каким либо причинам, доверяет ключам, выданным ему сотрудником УЦ.
Т.к. схема «доверенная» то, в отличии от предыдущего режима, надобность в служебном сертификате отпадает.
Общий алгоритм схемы выглядит следующим образом:
Администратор Центра Регистрации формирует запрос на регистрацию в электронной форме от имени пользователя и принимает его;
Администратор Центра Регистрации изготавливает и передает пользователю на ключевом носителе его рабочий закрытый ключ и сертификат;
пользователь использует рабочие ключи и сертификат в информационной системе;
с использованием рабочего закрытого ключа и сертификата пользователь с помощью АРМ Абонента формирует запрос на новый рабочий сертификат и ставит его в очередь на обработку в Центр Регистрации;
администратор с использованием ПО АРМ администратора Центра Регистрации обрабатывает стоящий в очереди запрос на сертификат;
пользователь с помощью АРМ Абонента получает сертификат на новые рабочие ключи, изготовленные им на своем рабочем месте, и устанавливает его;
пользователь использует рабочие ключи и сертификат в информационной системе.
Регистрация пользователей в централизованном режиме по «доверенной» схеме и централизованное управление ключами и сертификатами пользователя
Этот режим подразумевает, что пользователь не выполняет процедур управления ключами и сертификатами на своем рабочем месте и лично прибывает в УЦ при регистрации и сменах ключей и сертификатов.
Соответственно, данная схема подразумевает, что пользователь безоговорочно доверяет ключам, получаемым от сотрудника УЦ.
Общий алгоритм схемы выглядит следующим образом:
Администратор Центра Регистрации формирует запрос на регистрацию в электронной форме от имени пользователя и принимает его;
Администратор Центра Регистрации изготавливает и передает пользователю на ключевом носителе его рабочий закрытый ключ и сертификат;
пользователь использует рабочие ключи и сертификат в информационной системе;
Администратор Центра Регистрации изготавливает и передает пользователю на ключевом носителе его новый рабочий закрытый ключ и сертификат;
пользователь использует рабочие ключи и сертификат в информационной системе.
Регистрация пользователей в распределенном режиме по «доверенной» схеме и распределенное управление ключами и сертификатами пользователя
Распределенный режим регистрации пользователя является опциональным режимом и используется при невозможности (по разным причинам, в том числе и по причине экономической целесообразности) регистрации пользователей в централизованном режиме.
Идентификация пользователя осуществляется доверенным лицом путем заверения заявления на регистрацию пользователя, на основании документов, удостоверяющих личность пользователя.
С помощью ПО АРМ регистрации пользователя регистрируемые пользователи формируют запрос на регистрацию в электронной форме.
Регистрация пользователя в распределенном режиме на УЦ осуществляется администратором Удостоверяющего Центра на основании заверенного заявления на регистрацию и запроса на регистрацию в электронной форме путем принятия запроса на регистрацию в электронной форме.
С помощью ПО АРМ Абонента, зарегистрированные пользователи на своем рабочем месте генерируют служебные закрытый и открытый ключи, формируют и отправляют в режиме односторонней аутентификации им ЦР запрос на служебный сертификат.
Зарегистрированный пользователь должен распечатать запрос на сертификат в бумажной форме, заверить его своей собственноручной подписью и отправить в Удостоверяющий Центр.
Администратор Центра Регистрации, на основании поступившего запроса на сертификат в электронной форме и запроса на сертификат в бумажной форме принимает запрос на сертификат для его изготовления.
С помощью ПО АРМ Абонента, зарегистрированные пользователи на своем рабочем месте получают выпущенный служебный сертификат.
Затем с использованием ПО АРМ Абонента пользователь формирует рабочие ключи и запрос на рабочий сертификат и ставит его в очередь на обработку в Центр Регистрации и получает выпущенный сертификат после обработки запроса администратором УЦ.
Общий алгоритм схемы выглядит следующим образом:
пользователь с использованием ПО АРМ Абонента формирует запрос на регистрацию в электронной форме и по защищенному каналу ставит в очередь на обработку в Центр Регистрации;
Администратор Центра Регистрации обрабатывает запрос на регистрацию пользователя;
зарегистрированный пользователь с помощью АРМ Абонента производит со своего рабочего места формирует ключи и запрос на служебный сертификат и ставит его в очередь на обработку в Центр Регистрации;
Администратор Центра Регистрации обрабатывает стоящий в очереди запрос на служебный сертификат;
пользователь с помощью АРМ Абонента получает сертификат на служебные ключи, изготовленные им на своем рабочем месте, и устанавливает его;
зарегистрированный пользователь с использованием с помощью АРМ Абонента формирует рабочие ключи и запрос на рабочий сертификат и ставит его в очередь на обработку в Центр Регистрации;
Администратор Центра Регистрации обрабатывает стоящий в очереди запрос на рабочий сертификат;
пользователь с помощью АРМ Абонента получает сертификат на рабочие ключи, изготовленные им на своем рабочем месте, и устанавливает его;
пользователь использует рабочие ключи и сертификат в информационной системе;
с использованием рабочего закрытого ключа и сертификата пользователь с помощью АРМ Абонента формирует запрос на новый рабочий сертификат и ставит его в очередь на обработку в Центр Регистрации;
администратор с использованием ПО АРМ администратора Центра Регистрации обрабатывает стоящий в очереди запрос на сертификат;
пользователь с помощью АРМ Абонента получает сертификат на новые рабочие ключи, изготовленные им на своем рабочем месте, и устанавливает его;
пользователь использует рабочие ключи и сертификат в информационной системе.
Билет №5.