поиск по сайту
ПОДДЕРЖКА ФИЗИЧЕСКИХ ХРАНИЛИЩ СЕРТИФИКАТОВ В ПСКЗИ ШИПКА

Т.М. БОРИСОВА, Д.Ю. СЧАСТНЫЙ

РОССИЯ, МОСКВА, ОКБ САПР

ПОДДЕРЖКА ФИЗИЧЕСКИХ ХРАНИЛИЩ СЕРТИФИКАТОВ  В ПСКЗИ  ШИПКА

В настоящее время при работе в различных автоматизированных системах  люди все чаще используют электронные цифровые сертификаты. Использование таких сертификатов позволяет пользователям обмениваться электронными сообщениями и быть уверенными в их подлинности и в безопасности передачи. Применение сертификатов становится обыденным и привычным  для пользователей.

Организация работы с сертификатами в операционных системах семейства Microsoft Windows достаточно проста и понятна для пользователя. В простейшем случае процесс получения сертификата сводится к обращению к Центру Сертификации с помощью браузера  и заполнению типовых форм.  Полученный таким образом сертификат сохраняется в личном системном хранилище сертификатов (хранилище "MY") компьютера, на котором выполнялся запрос. При этом сам сертификат и закрытый ключ ключевой пары, связанный с этим сертификатом, по умолчанию хранятся в реестре этого компьютера. Пользователь может легко использовать полученный сертификат в любых требующих его наличие программах. Однако, для того чтобы использовать этот сертификат на другом компьютере пользователю необходимо экспортировать его в файл, скопировать полученный файл на какой-либо носитель информации, а затем уже импортировать сертификат из принесенного файла в личное системное хранилище сертификатов другого компьютера. Естественно, это доставляет пользователю неудобство при работе со своими сертификатами на различных компьютерах, а так же является небезопасным,  если пользователю необходимо переносить закрытые ключи ключевых пар, связанные с этими сертификатами.

Для решения вышеописанной проблемы у компании Microsoft для операционных систем семейства Windows разработаны правила встраивания физического хранилища в системное логическое хранилище сертификатов. Физическое хранилище необходимо зарегистрировать в системе при помощи специальных системных функций, после чего доступ к нему будет осуществляться через заданное при регистрации системное логическое хранилище. Таким образом, в случае регистрации физического хранилища, связанного с логическим хранилищем "MY", все обращения к последнему будут транслироваться в связанное с ним физическое хранилище, и все сертификаты, хранящиеся в нем, становятся доступными через логическое хранилище "MY". Наличие физического хранилища предполагает, что сертификаты и связанные с ними ключевые пары хранятся не в реестре системы, а на каком-либо  отчуждаемом носителе.

Специальное программное обеспечение ПСКЗИ ШИПКА, поставляемое в комплекте с устройством, содержит библиотеку поддержки физических хранилищ сертификатов. Регистрация физического хранилища сертификатов для ПСКЗИ ШИПКА происходит во время установки программного обеспечения для ПСКЗИ ШИПКА и не требует от пользователя никаких дополнительных действий. Для получения сертификата при помощи ПСКЗИ ШИПКА пользователь использует стандартную процедуру обращения к Центру Сертификации. При установке этого сертификата он сохраняется не в логическом хранилище сертификатов "MY", а в самом устройстве ШИПКА и работа с таким сертификатом осуществляется через физическое хранилище сертификатов для ПСКЗИ ШИПКА.  После этого пользователь может работать с сертификатами, хранящимися в ПСКЗИ ШИПКА, во всех программах, требующих использование сертификатов точно также как, если бы он работал с сертификатами, хранящимися в системе локально. В случае отсоединения устройства ШИПКА от USB-порта сертификаты перестают быть доступными пользователю. Если же подключить устройство ШИПКА к USB-порту другого компьютера, на котором установлено программное обеспечение для ПСКЗИ ШИПКА, то пользователь автоматически получает доступ к хранящимся на нем сертификатам.

Главным достоинством использования физического хранилища для ПСКЗИ ШИПКА является то, что сертификат и связанная с ним ключевая пара могут легко переноситься  пользователем с одного компьютера на другой и использоваться на нем. Нет необходимости проводить процедуру экспорта сертификата и связанной с ним ключевой пары на какой-либо носитель информации, а затем импортировать их на другой компьютер. Достаточно выписать сертификат на любом компьютере, где установлено программное обеспечение для ПСКЗИ ШИПКА, и этот сертификат вместе со связанной с ним ключевой парой будет сохранен в самом устройстве. А так как ШИПКА представляет собой мобильное устройство, то имеющиеся в нем сертификаты и ключевые пары легко могут быть перенесены и использованы на любом другом компьютере с установленным на нем программным обеспечением для ПСКЗИ ШИПКА.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них