КріптоПро, КріптоПро revocation provider

КріптоПро Revocation Provider

У процесі управління ключами УЦ має можливість відкликання випущених ним сертифікатів, що необхідно для дострокового припинення їх дії, наприклад, в разі компрометації ключа. Процедура перевірки ЕЦП передбачає крім підтвердження її математичної коректності ще й побудова, і перевірку ланцюжка сертифікатів до довіреної УЦ, а також перевірку статусів сертифікатів в ланцюжку.







Таким чином, перевірка статусів сертифікатів важлива для додатків, що використовують ІВК, оскільки, наприклад, прийняття до обробки підписаного ЕЦП документа, відповідний сертифікат ключа підпису якого анульований, може бути згодом оскаржене і привести до фінансових втрат.

В ОС Microsoft Windows вбудована підтримка технології ІВК. Багато додатків, що працюють під управлінням цих ОС, використовують інтерфейс CryptoAPI для здійснення функцій криптографічного захисту інформації. Функції CryptoAPI використовують, наприклад, такі програми: Internet Explorer, Outlook Express, Outlook, Internet Information Server і ін.

За замовчуванням CryptoAPI здійснює перевірку статусів сертифікатів з використанням СОС (CRL). СОС є список анульованих або призупинених сертифікатів, що видається періодично - наприклад, раз в тиждень. СОС не відображає інформацію про статуси в реальному часі, а також має ряд інших недоліків, яких позбавлений протокол OCSP - протокол отримання статусу сертифіката в реальному часі.

Архітектура CryptoAPI надає можливість підключення зовнішнього модуля перевірки статусу сертифіката - Revocation Provider.

КріптоПро Revocation Provider призначений для вбудовування перевірки статусів сертифікатів відкритих ключів в режимі реального часу по протоколу OCSP в ОС Windows.

КріптоПро Revocation Provider призначений для вбудовування перевірки статусів сертифікатів відкритих ключів в режимі реального часу по протоколу OCSP в ОС Windows.

КріптоПро Revocation Provider. будучи встановлений в системі, вбудовується в CryptoAPI і тим самим забезпечує перевірку статусів сертифікатів у всіх додатках по протоколу OCSP, причому міняти що-небудь в самих додатках не потрібно. Revocation Provider викликається автоматично кожного разу, коли додаток здійснює дії з сертифікатом. Перевірка сертифіката в реальному часі за протоколом OCSP забезпечує більшу безпеку в порівнянні з СОС.







Схема вбудовування Revocation Provider в ОС представлена ​​на малюнку.

Щоб забезпечити використання протоколу OCSP для перевірки статусів сертифікатів, які використовуються в конкретній інформаційній системі, необхідно, щоб в даній системі працював сервер OCSP.

Як сервер OCSP для КріптоПро Revocation Provider можна використовувати КріптоПро OCSP Server.

КріптоПро Revocation Provider функціонує в наступних операційних системах:

КріптоПро Revocation Provider:

  • Вбудовує перевірку статусу сертифікатів по протоколу OCSP в усі додатки операційної системи.
  • Не вимагає модифікації додатків для використання своїх можливостей.
  • Зменшує ризик стати жертвою шахрайства або понести відповідальність.
  • Сумісний з серверними додатками.
  • Автоматично перевіряє статуси сертифікатів OCSP-серверів.
  • Підтримує розширення id-pkix-ocsp-nocheck. Якщо таке розширення присутній в сертифікаті OCSP- сервера, то статус цього сертифікату не перевіряється.
  • Автоматично перевіряє, чи уповноважений OCSP-сервер Засвідчуючим Центром, який видав сертифікат, що перевіряється, видавати інформацію про статус даного сертифіката.
  • Налаштовується через групові політики.
  • Дає можливість налаштування довіри до конкретних OCSP-серверів.
  • При неможливості перевірки сертифіката по протоколу OCSP передає його в Microsoft Revocation Provider, який проводить перевірку за СОС.
  • Може здійснювати з'єднання по захищеному протоколу TLS (SSL).
  • Встановлюється за допомогою Windows Installer.

Як викликається Revocation Provider

Будучи встановленим в системі, Revocation Provider викликається для перевірки сертифіката (ів) при кожному виклику функції CryptoAPI CertVerifyRevocation. Фактично, всі параметри цієї функції передаються без змін до Revocation Provider. Крім безпосереднього виклику, ця функція, а значить і Revocation Provider, викликається неявно всередині функцій CertGetCertificateChain і WinVerifyTrust.

Як працює Revocation Provider

Коли додаток, що працює з CryptoAPI, викликає функцію перевірки статусу сертифіката, в Revocation Provider передається цей сертифікат разом з низкою додаткових параметрів.

Черговість звернення до служб OCSP визначається наступним чином:

Якщо на попередніх етапах не вдається отримати задовольняє описаним умовам відповідь, то сертифікат передається на перевірку в Microsoft Revocation Provider, що входить до складу ОС Windows. Microsoft Revocation Provider здійснює перевірку даного сертифіката з використанням СОС. Отриманий статус сертифіката повертається з додатком.

КріптоПро Revocation Provider використовує сертифіковане ФСБ Росії засіб криптографічного захисту КріптоПро CSP 3.0.







Схожі статті