Основным назначением ПК «Litoria Desktop 2» является создание, добавление, заверение и проверка электронной подписи (ЭП), а также шифрование и извлечение файлов. В ПК «Litoria Desktop 2» реализована возможность выполнения одновременных операций создания ЭП и шифрования, извлечения и проверки ЭП.
Кроме того, продукт позволяет выполнить функции
- просмотра хранилища сертификатов ключей проверки ЭП (сертификатов)
- создания запроса на выпуск и перевыпуск сертификата
- установки сертификата на устройство
- установки сертификата из устройства в реестр
- просмотра установленных криптопровайдеров и их параметров
- использования службы DVCS для проверки ЭП и актуального статуса сертификата
Условия применения
ПК «Litoria Desktop 2» функционирует под управлением следующих операционных систем:
- Windows 7 с пакетом обновления 1 (SP1) (32 бит/64 бит)
- Windows Server 2012 (64 бит)
- Windows Server 2012 R2 (64 бит)
- Windows 10 (32 бит/64 бит)
- Astra Linux Смоленск сертифицированная ОС ФСБ РФ
- Alt Linux сертифицированная ОС ФСТЭК РФ
- РЕД ОС
Дополнительно должно быть установлено следующее программное обеспечение:
- Средство криптографической защиты информации (СКЗИ), реализованное в соответствии с технологией Microsoft CSP, либо программные СКЗИ – «ViPNet CSP», «ВАЛИДАТА CSP», «Крипто-Ком», «КриптоПро CSP» или ПК «ЛИССИ-CSP»; либо драйвера для аппаратных СКЗИ – «Криптотокен» в составе изделия «eToken ГОСТ» или «РУТОКЕН ЭЦП».
Минимальные требования к рабочей станции, на которую устанавливается ПК «Litoria Desktop 2», обусловлены применением ОС.
Поддержка продукта осуществляется в соответствии с актуальными требованиями законодательства.
Входные данные
Входные данные для ПК «Litoria Desktop 2» зависят от выполняемой операции.
В таблице 1 приведены входные данные для основных функций комплекса.
|
Функция
|
Входные данные
|
Примечание
|
|
Создание нового запроса на сертификат
|
1. Название файла-запроса и его расположение
2. Криптопровайдер (указанный вручную), с помощью которого будет создан ключевой контейнер
3. Информация о ключевом контейнере (имя, заданное автоматически или вручную, пин-код)
4. Параметры ключевой пары (алгоритм, длина ключа проверки ЭП и параметры применения)
5. Идентификационная информация о пользователе (указанная вручную
6. Параметры ключа и сертификата (указанные вручную)
|
Для выполнения данной функции необходимо наличие ключевого носителя
|
|
Создание запроса на основе имеющегося сертификата
|
1. Название файла-запроса и его расположение
2. Криптопровайдер (указанный вручную), с помощью которого будет создан ключевой контейнер
3. Информация о ключевом контейнере (имя, заданное автоматически или вручную; пин-код)
4. Параметры ключевой пары (алгоритм, длина ключа проверки ЭП и параметры применения)
5.Сертификат подписчика, на основе которого будет создан запрос
|
Для выполнения данной функции необходимо наличие ключевого носителя с ключом ЭП подписчика, на основе которого будет создан запрос.
|
|
Установка сертификата на устройство
|
1. Файл сертификата, полученный в ответ на запрос из удостоверяющего центра
|
Для выполнения данной функции необходимо иметь ключевой носитель, с использованием которого создавался запрос на сертификат.
|
|
Просмотр сертификатов в контейнерах
|
1. Криптопровайдер, на основе которого были созданы ключевые контейнеры с сертификатами
2. Информация о ключевом контейнере
|
Для выполнения данной функции необходимо наличие ключевого носителя с контейнерами.
|
|
Импорт сертификата
|
1. Файл сертификата, который необходимо скопировать в хранилище сертификатов
2. Хранилище сертификатов (указанное автоматически или вручную), в которое необходимо скопировать сертификат
|
|
|
Экспорт сертификата
|
1. Сертификат (указанный вручную в хранилище), который необходимо скопировать на локальный диск
2. Формат файла сертификата (указанный вручную)
|
|
|
Удаление сертификата
|
1. Сертификат (указанный вручную в хранилище)
|
|
|
Детальный просмотр сертификата
|
1. Сертификат (указанный вручную в хранилище)
|
|
|
Проверка статуса сертификата
|
1. Сертификат (указанный вручную в хранилище)
|
|
|
Создание ЭП
|
1. Файл произвольного типа
2. Сертификат подписчика (указанный вручную)
3. Параметры ЭП (указанные вручную)
|
Для выполнения данной функции необходимо наличие ключевого носителя с ключом ЭП подписчика
|
|
Добавление ЭП
Заверение ЭП
|
1. Подписанный файл
2. Сертификат подписчика (указанный вручную)
3. Параметры ЭП (указанные вручную)
|
Для выполнения данной функции необходимо наличие ключевого носителя с ключом ЭП подписчика
|
|
Проверка ЭП
|
1. Подписанный файл
2. Параметры проверки ЭП (указанные вручную)
|
|
|
Шифрование
|
1. Файл произвольного типа
2. Сертификаты получателей (указанные вручную)
3. Настройки шифрования (указанные вручную)
|
|
|
Извлечение
|
1. Зашифрованный файл
|
|
|
Создание ЭП и шифрование файла
|
1. Файл произвольного типа
2. Сертификат подписчика (указанный вручную)
3. Сертификаты получателей (указанные вручную)
4. Параметры ЭП (указанные вручную)
5. Настройки шифрования (указанные вручную)
|
|
|
Извлечение файла и проверка ЭП
|
1. Подписанный и зашифрованный файл
2. Параметры проверки ЭП (указанные вручную)
|
|
Выходные данные
Результатом выполнения операций шифрования и создания ЭП ПК «Litoria Desktop 2» являются файлы, имеющие специальные расширения (таблица 2).
Таблица 2. Типы и описания файлов.
|
Иконка
|
Тип файла
|
Расширение файла
|
Описание
|
 |
Подписанный файл
|
.p7s
|
подписан в DER-кодировке или в BASE64-кодировке
|
|
|
Зашифрованный файл
|
.p7m
|
зашифрован в DER-кодировке или в BASE64-кодировке
|
|
Подписанный и зашифрованный файл
|
.p7s.p7m
|
подписан и зашифрован в DER-кодировке или в BASE64-кодировке
|
При операциях создания, добавления и заверения ЭП для файлов формата PDF ПК «Litoria Desktop 2» создает ЭП в формате PAdES, для файлов форматов XML и ODF - в формате CAdES
При совмещенной операции «Создание ЭП и шифрование файла» ПК «Litoria Desktop 2» не встраивает ЭП в файлы форматов PDF, XML и ODF, а создает для них подпись в формате CAdES.
Функциональные возможности
ПК «Litoria Desktop 2» предоставляет пользователю возможность выполнить подготовительные мероприятия для работы с функциями PKI:
- создание нового запроса на сертификат
- создание запроса на основе имеющегося сертификата
- установка сертификата на устройство
- просмотр сертификатов в контейнерах
- установка сертификата из устройства в хранилище «Личное»
- управление сертификатами: импорт, экспорт, удаление, детальный просмотр, проверка статуса по локальному и/или удаленному списку отозванных сертификатов (СОС) и в режиме реального времени (OCSP)
- просмотр списка криптопровайдеров
- удаление контейнера ключа ЭП
- управление настройками комплекса
Для обеспечения PKI-функциональности ПК «Litoria Desktop 2» выполняет следующие функции:
- создание ЭП для файлов произвольного типа
- добавление ЭП для подписанных файлов
- заверение ЭП для подписанных файлов
- создание, добавление, заверение ЭП для файлов PDF в формате PAdES
- проверка ЭП для подписанных файлов с возможностью получения исходного документа
- использование службы DVCS для проверки подписи
- шифрование файла произвольного типа
- извлечение (расшифровывание) файла
- универсальные операции: создание ЭП и шифрование файла произвольного типа, извлечение файла и проверка ЭП с возможностью получения исходного документа
Создание нового запроса на сертификат ключа проверки ЭП
Для выполнения операций создания/добавления/заверения ЭП пользователю необходимо иметь сертификат ключа проверки ЭП (сертификат).
Сертификат содержит идентификационную информацию о пользователе (в том числе его имя), ключ проверки ЭП и уникальную ЭП, которая закрепляет сертификат за удостоверяющим центром (УЦ), который его создал. Ключ ЭП, соответствующий ключу проверки ЭП должен находиться в контейнере на отчуждаемом носителе. В качестве отчуждаемого носителя может использоваться любой носитель (например, сменный носитель с интерфейсом USB и др.).
С помощью ПК «Litoria Desktop 2» можно создать запрос на новый сертификат. Для этого надо указать имя выходного файла, криптопровайдер, имя ключевого контейнера, личную идентификационную информацию пользователя и информацию о создаваемом сертификате, такую как использование ключа и назначение сертификата. При выполнении операции создания запроса осуществляется так же создание ключевой пары (ключ проверки ЭП – ключ ЭП). Созданный запрос отправляется на рассмотрение в УЦ, и на основе него УЦ выпустит пользовательский сертификат.
Создание запроса на основе имеющегося сертификата
ПК «Litoria Desktop 2» позволяет создать запрос на новый сертификат на основе имеющегося сертификата, у которого истекает или уже истек срок действия.
Для создания запроса на сертификат на основе имеющегося необходимо указать имя выходного файла, криптопровайдер, имя ключевого контейнера и выбрать сертификат, на основе которого надо создать запрос на новый сертификат.
Установка сертификата на устройство
ПК «Litoria Desktop 2» позволяет выполнить установку сертификата ключа проверки ЭП на устройство, которое ранее использовалось для создания запроса и содержит контейнер ключа ЭП к этому сертификату.
Просмотр сертификатов в контейнерах
С помощью ПК «Litoria Desktop 2» можно выполнить просмотр сертификатов, созданных на основе различных криптопровайдеров, во всех имеющихся контейнерах. И установить выбранный сертификат в хранилище «Личное».
Управление сертификатами
ПК «Litoria Desktop 2» позволяет работать с системными хранилищами сертификатов. Существуют возможности импорта, экспорта и удаления сертификатов, а также просмотра хранилища сертификатов.
- Хранилище сертификатов – это область системы, предназначенная для хранения сертификатов.
- Импорт – это копирование сертификатов и СОС УЦ с локального диска в хранилище сертификатов.
- Экспорт – это копирование сертификатов и СОС УЦ из хранилища сертификатов на локальный диск.
С помощью ПК «Litoria Desktop 2» можно выполнить операции установки корневого сертификата и сертификатов других пользователей.
Также с помощью функции Импорт можно установить сертификат из файла, полученного от УЦ в ответ на отправленный запрос, в хранилище сертификатов «Личное».
Просмотр списка криптопровайдеров
С помощью ПК «Litoria Desktop 2» можно выполнить просмотр установленных на компьютере криптопровайдеров и информацию о них.
Удаление контейнера ключа ЭП
ПК «Litoria Desktop 2» позволяет удалить контейнер ключа ЭП с ключевого отчуждаемого носителя.
Управление настройками комплекса
ПК «Litoria Desktop 2» предоставляет возможность создать настройки для типовых операций: установить кодировку выходных файлов операций, указать информацию для подключения к прокси-серверу, установить адрес службы штампов времени, указать имя рабочей директории, выбрать сертификат подписчика, указать параметры создания и проверки ЭП, выбрать сертификаты получателей и другое.
Создание ЭП
ЭП – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и полученный в результате криптографического преобразования информации с использованием ключа ЭП. С помощью ЭП можно идентифицировать владельца сертификата ключа проверки ЭП, а также установить отсутствие искажения информации в электронном документе.
Для создания ЭП должен быть осуществлен выбор сертификата ключа проверки ЭП и параметров создания ЭП.
К параметрам создания ЭП относятся:
- создание отделенной или совмещенной ЭП
- создание ЭП с вложенным внутренним штампом времени
- создание усовершенствованной ЭП
Процесс создания усовершенствованной ЭП делится на следующие этапы:
- создание ЭП
- получение штампа времени на значение ЭП
- сбор доказательств действительности сертификата ключа проверки ЭП и присоединение этих доказательств и их хэш-кодов к подписанному документу
- получение штампа времени на сформированные доказательства действительности сертификата ключа проверки ЭП
Добавление ЭП
В случае, когда в подписании документа участвует несколько лиц, и каждый должен поставить в нем свою ЭП, используется операция добавления ЭП. В отличие от операции создания ЭП, добавление ЭП производится в уже подписанный ранее документ.
В ПК «Litoria Desktop 2» существует возможность добавления ЭП, созданной на криптографическом алгоритме, отличном от ГОСТ, например, RSA.
Заверение ЭП
ПК «Litoria Desktop 2» позволяет формировать заверяющую ЭП. С помощью этого типа подписи можно заверить ЭП другого пользователя, сформировав ЭП на значении ЭП другого пользователя, тем самым косвенно подписывая сами данные.
Перед созданием заверяющей подписи производится проверка ЭП, чтобы было достоверно известно, какие подписи уже существуют в документе, и их статус.
Дальнейшая операция по заверению ЭП аналогична созданию ЭП.
Заверение ЭП возможно лишь для подписанных ранее файлов.
Проверка ЭП
Проверка ЭП подразумевает подтверждение подлинности ЭП в электронном документе, то есть:
- принадлежности ЭП в электронном документе владельцу сертификата ключа проверки ЭП
- отсутствия искажений в подписанном данной ЭП электронном документе (целостность)
- подтверждение момента формирования ЭП
- подтверждение действительности сертификата ключа проверки ЭП на момент проверки либо на момент создания ЭП при наличии в ЭП доказательств, определяющих этот момент
Проверка отделенной ЭП подразумевает проверку корректности самого файла ЭП.
Использование службы DVCS
ПК «Litoria Desktop 2» позволяет получать подтверждение корректности ЭП электронного документа (Validation of Digitally Signed Document – VSD) от службы DVCS, а также информацию об актуальном статусе сертификата ключа проверки ЭП (validation of public key certificates - VPKC)
Подписанный указанным сертификатом DVCS-запрос отправляется для проверки на сервер службы доверенной третьей стороны, а в ответ сервер присылает информацию о действительности ЭП (VSD-запрос) или статусе сертификата ключа проверки ЭП (VPKC-запрос).
Шифрование файла
Шифрование производится с использованием ключа проверки ЭП, содержащегося в сертификате получателя. Ключ ЭП есть только у владельца использованного сертификата ключа проверки ЭП. Таким образом, при шифровании файла никто, кроме владельца ключа ЭП, не сможет его расшифровать.
ПК «Litoria Desktop 2» может производить шифрование файла сразу для нескольких получателей, при этом их сертификаты должны быть созданы с помощью криптографического алгоритма, относящегося к стандарту единому для всех участников операции. Для каждого сертификата получателя пользователь может просмотреть статус, чтобы на его основании сделать вывод о пригодности данного сертификата для операции.
Извлечение файла
При получении зашифрованного документа извлечение (расшифровывание) пройдет успешно при условии наличия ключа ЭП, связанного с одним из ключей проверки ЭП, на которых производилось шифрование файла. Если существует несколько ключей ЭП, которым соответствуют несколько ключей проверки ЭП, участвующих при шифровании, то расшифровывание произойдет на первом из ключей ЭП. После извлечения можно получить информацию о том, на каком сертификате была произведена операция расшифровывания.
Универсальная операция создания ЭП и шифрования файла
ПК «Litoria Desktop 2» предоставляет возможность одновременного создания ЭП и шифрования. Все действия, выполняемые при этом, аналогичны одиночным операциям создания ЭП и шифрования.
Универсальная операция извлечения файла и проверки ЭП
Функциональность проверки идентична отдельным проверкам – вначале выполняется извлечение, потом проверка ЭП.
После выполнения операции пользователю становится доступна следующая информация:
- для извлечения – сертификат ключа проверки ЭП, на связанном с которым ключе ЭП файл был расшифрован
- для проверки ЭП – все сертификаты подписи, их статусы
450.71 KB
