в начало  предыдущее  закрыть  следущее  в конец
141090, Московская область, г. Королев мкр.Юбилейный, ул. Ленинская, д.4, пом.7
Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru
Главная страница / Продукты / ПАК «ЛИССИ-УЦ»

ПАК «ЛИССИ-УЦ» (исполнение 1, исполнение 2)

Сколько стоит этот продукт?

 Заказать этот продукт

Одним из основных компонентов ИОК и автоматизированных систем, использующих электронную подпись, является удостоверяющий центр.

ПАК «ЛИССИ-УЦ» (исполнение 1, исполнение 2) предназначен для "создания удостоверяющих центров электронной подписи (ЭП) в автоматизированных системах защищенного электронного документооборота на основе технологии открытого распределения ключей (PKI), в том числе в органах государственного управления и организациях Российской Федерации".


ПАК «ЛИССИ-УЦ» (исполнение 1, исполнение 2) функционирует по управлением ОС семейства Linux, в частности на сертифицированных отечественных операционных системах Альт Линукс СПТ 6.0 и Astra Linux Special Edition.


ПАК «ЛИССИ-УЦ» (исполнение 1, исполнение 2) сертифицирован по «Требованиям к информационной безопасности удостоверяющих центров» по классам защиты КС1 (Сертификат соответствия ФСБ России регистрационный номер СФ/118-2405 от 28 февраля 2014 г.), КС2 (Сертификат соответствия ФСБ России регистрационный номер СФ/128-2406 от 28 февраля 2014 г.) и может использоваться для реализации функций удостоверяющего центра в соответствии с Федеральным законом от 6 апреля 2011г. №63-ФЗ "Об электронной подписи".

Согласно выписке из заключения о соответствии средство ПАК «ЛИССИ-УЦ» разрешается эксплуатировать до 28 февраля 2019 года.

ПАК «ЛИССИ-УЦ» (исполнение 1, исполнение 2) полностью поддерживает российскую криптографию и обеспечивает:

  • выполнение процедуры регистрации электронных запросов от пользователей на сертификаты ключей проверки электронной подписи в Центре регистрации;
  • создание сертификатов ключей проверки электронной подписи пользователей в соответствии с рекомендациями Х.509 версии 3;
  • создание сертификатов ключей проверки электронной подписи в соответствии с требованиями документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденного приказом ФСБ России от 27.12.2011 № 795;
  • выдачу сертификата ключа проверки электронной подписи на бумажном носителе. Форма сертификата ключа проверки электронной подписи на бумажном носителе удовлетворяет требованиям документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденных приказом ФСБ России от 27.12.2011 № 795.

В качестве средства электронной подписи (ЭП) используется ПБЗИ «СКЗИ «ЛИРССЛ», которое «при выполнении операций создания и проверки ЭП, создания ключа ЭП и ключа проверки ЭП удовлетворяет «Требованиям к средствам электронной подписи», утвержденным приказом ФСБ России №796 по классам КС1 и КС2 при выполнении требований нормативных документов, входящих в состав формуляра».

Состав стандартной комплектации ПАК «ЛИССИ-УЦ»:

  • Центр сертификации;
  • Центр регистрации;
  • АРМ разбора конфликтных ситуаций.

В расширенной комплектации ПАК «ЛИССИ-УЦ» могут быть использованы один или несколько дополнительных модулей из следующего списка:

На внутреннем сервере комплекса функционирует только Центр сертификации (ЦС), а на внешнем все остальные службы. Такая конфигурация базового комплекта УЦ позволяет надежно защитить от внешних атак ЦС и обеспечить оперативный обмен данными (заявки, сертификаты, списки аннулированных сертификатов и т.п.) между ЦС и центром регистрации (ЦР). Центр сертификации предназначен для формирования сертификатов ключей проверки ЭП пользователей и администраторов Удостоверяющего центра, списков аннулированных сертификатов, хранения базы сертификатов.

На внешнем сервере удостоверяющего центра функционируют следующие компоненты:

  • Центр регистрации (ЦР), предназначенный для хранения регистрационных данных пользователей, запросов на сертификаты и сертификаты пользователей;
  • Веб-интерфейс для доступа пользователей (публичный интерфейс), предназначенный для формирования пользователями заявок на получение и отзыв сертификатов, получения сертификатов, просмотра списков аннулированных сертификатов;
  • Дополнительно может поставляться сервер штампов времени – сервер TSP, предназначенный для выдачи штампов времени (ответы сервера TSP используются для создания усовершенствованной ЭП) и сервер OCSP, предназначенный для проверки списка аннулированных сертификатов в автоматическом режиме.

Доступ администраторов ЦС, ЦР осуществляется через веб-интерфейс по протоколу HTTPS в авторизованном режиме с использованием сертификатов ключей проверки ЭП по ГОСТ Р 34.10-2001. Для формирования запросов и получения сертификатов ключа проверки электронной подписи, сформированного в соответствии с ГОСТ Р 34.10 2001, могут использоваться практически любые браузеры:

  • Google Chrome, chromium-browser, Opera, Apple Safari, Microsoft Internet Explorer, Mozilla Firefox, SeaMonkey при условии использования ими криптоплагина, работающего с российской криптографией;
  • Браузеры Mozilla с поддержкой российской криптографии (Mozilla Firefox, SeaMonkey, Mobile для Android);
  • Браузер Сhromium с поддержкой российской криптографии;
  • Браузер Microsoft Internet Explorer (IE) при условии, что на рабочем месте пользователя установлен криптопровайдер (CSP), поддерживающий российскую криптографию, например, ПК «ЛИССИ-CSP» или КриптоПро CSP, а также элемент управления ActiveX CAPICOM или плагин на базе MS CSP.

Рис.1.Стартовая страница УЦ

Доступ пользователей к ЦР осуществляется через пользовательский веб-интерфейс по протоколам HTTP или HTTPS в анонимном режиме. Последний режим имеет ряд преимуществ. Во-первых, к ЦР могут обращаться только те пользователи, у которых на рабочем месте есть средства поддержки российской криптографии, а во-вторых, что более существенно, в данном режиме пользователь может удостовериться, что это именно тот центр сертификации, к которому он обращается.

Публичный интерфейс позволяет пользователю сформировать заявку на получение сертификата следующими способами (рис. 2):

  1. С автоматическим определением типа браузера (в этом случае генерация ключевой пары будет производиться криптографическими средствами, установленными на стороне пользователя);
  2. С использованием браузера Internet Explorer (при выборе этого варианта необходимо, чтобы на стороне пользователя был установлен ЛИССИ-CSP или любой другой провайдер с поддержкой российской криптографии);
  3. С использованием браузера Mozilla Firefox с поддержкой российских криптографических алгоритмов
  4. С использованием готовой заявки в формате PKCS#10, сформированной, например, с помощью ПБЗИ «СКЗИ «ЛИРССЛ»;
  5. Дополнительный тип заявки (данный способ используется для генерации ключевой пары на стороне сервера).

Рис.2. Публичный веб-интерфейс

Форма заявки представлена ниже, красным помечены поля, обязательные для заполнения. Это входит в обязанности администратора ЦР (см. рис.3).


Рис.3. Веб-интерфейс администратора ЦР

Утвержденные заявки администратор передает в Центр сертификации. Администратор ЦС просматривает поступившие утвержденные заявки и принимает решение о выдаче сертификатов. Форма сертификата представлена ниже, она соответствует требованиям к форме квалифицированного сертификата ключа проверки электронной подписи (см. рис.4).


Рис.4. Веб-интерфейс администратора ЦС

Выписанные сертификаты ЦС передает в ЦР.

Пользователь может получать сертификаты через публичный веб-интерфейс или по электронной почте. Если ключевая пара была сгенерирована на стороне сервера, то пользователь получает ключ ЭП и сертификат в защищенном виде в формате PKCS#12. Пользователь может импортировать сертификат и ключ ЭП из формата PKCS#12, например, на электронный ключ eToken.

С использованием подсистемы создания заявок и мониторинга УЦ «ЛИССИ-УЦ» можно распечатать сертификат в соответствии с Требованиями к форме квалифицированного сертификата ключа проверки электронной подписи (Приказ ФСБ РФ от 27.12.2011г. №795) (рис.5).

Рис.5. Внешний вид сертификата ключа проверки электронной подписи

Основные функции, реализуемые ПАК «ЛИССИ-УЦ»:

  • Взаимодействие компонент, а также доступ к ЦР и ЦС по протоколу HTTPS; 
  • Генерация ключевых пар (ГОСТ 3410-94, ГОСТ 3410-2001, RSA, DSA);
  • Формирование и хранение запросов на сертификаты в формате PKCS#10;
  • Выдача и переиздание сертификатов;
  • Формирование списков аннулированных сертификатов;
  • Импорт и экспорт ключевых пар, запросов, сертификатов, цепочек сертификатов, списков аннулированных сертификатов в форматах DER, BER, PEM, PKCS#12, PKCS#8;
  • Публикация списков аннулированных сертификатов;
  • Кросс-сертификация;
  • Поддержка протокола OCSP;
  • Техническая поддержка при проведении разбора конфликтных ситуаций;
  • Подтверждение подлинности электронной подписи на электронном документе в отношении выданных УЦ сертификатов.

ПАК «ЛИССИ-УЦ» может также использовать для выполнения криптографических операций СКЗИ «Рутокен ЭЦП», СКЗИ «MS_KEY K» с неизвлекаемым ключом ЭП.

Средство криптографической защиты информации (СКЗИ) «Рутокен ЭЦП» — это аппаратная реализация российского стандарта электронной подписи с поддержкой интерфейса PKCS#11 v.2.30.

СКЗИ «Рутокен ЭЦП» имеет сертификат соответствия ФСБ РФ №СФ/124-1674 от 11 мая 2011 года, который удостоверяет, что Рутокен ЭЦП соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, а также требованиям ФСБ России к СКЗИ класса КС2 и может использоваться для генерации и управления ключевой информацией, шифрования, хеширования и электронной цифровой подписи.


Сертификаты

  1. Сертификат соответствия № СФ/118-2405 на ПАК «ЛИССИ-УЦ» (исполнение 1) посмотреть
  2. Сертификат соответствия № СФ/128-2406 на ПАК «ЛИССИ-УЦ» (исполнение 2) посмотреть
  3. Сертификат соответствия СФ/111-1978 на ПБЗИ «СКЗИ «ЛИРССЛ» посмотреть.
  4. Сертификат соответствия СФ/111-1979 на ПБЗИ «СКЗИ «ЛИРССЛ» посмотреть.
  5. Flash презентация Скачать
  6. Видео-демонстрация получения сертификата на ПАК "ЛИССИ-УЦ" Скачать

© 2011-2016. ООО «ЛИССИ-Софт». Все права на материалы, находящиеся на сайте, охраняются в соответствии с законодательством РФ. При любом использовании материалов сайта, ссылка на источник обязательна.
Торговые марки, логотипы и марки услуг, размещенные на данном сайте, являются собственностью ООО «ЛИССИ-Софт».
Телефон: +7(495) 589-99-53, e-mail: info@lissi.ru