Page 1

DEKART RSA CRYPTOGRAPHIC SERVICE PROVIDER

Руководство администратора


COPYRIGHT Copyright Š Dekart, SRL. All Rights Reserved. No part of this publication may be reproduced, transmitted, transcribed, stored in a retrieval system, or translated into any language in any form or by any means without the written permission of Dekart, SRL., or its suppliers or affiliate companies.

DISCLAMER Dekart, SRL. makes no representations or warranties with respect to the contents or use of this manual, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Further, Dekart, SRL. reserved the right to revise this publication and to make changes to its content, at any time, without any obligation to notify any person or entity of such revisions or changes. Further, Dekart, SRL. makes no representations or warranties with respect to any Dekart RSA Cryptographic Provider software, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Further, Dekart, SRL. reserved the right to make changes to any and all parts of Dekart RSA Cryptographic Provider software, at any time, without any obligation to notify any person or entity of such revisions or changes.

LICENSE AGREEMENT NOTICE TO ALL USERS: FOR THE SPECIFIC TERMS OF YOUR LICENSE TO USE THE SOFTWARE THAT THIS DOCUMENTATION DESCRIBES, CONSULT THE README.1ST, LICENSE.TXT, OR OTHER LICENSE DOCUMENT THAT ACCOMPANIES YOUR SOFTWARE, EITHER AS A TEXT FILE OR AS PART OF THE SOFTWARE PACKAGING. IF YOU DO NOT AGREE TO ALL OF THE TERMS SET FORTH THEREIN, DO NOT INSTALL THE SOFTWARE. IF APPLICABLE, YOU MAY RETURN THE PRODUCT TO THE PLACE OF PURCHASE FOR A FULL REFUND.

DEKART, SRL. TRADEMARK ATTRIBUTIONS All other registered and unregistered trademarks in this document are the sole property of their respective owners.

DEKART, SRL. CONTACT INFORMATION Headquarters Address:

Dekart, SRL. 10 fl, 75, Alba-Iulia Chisinau MD2071 Republic of Moldova

Voice:

+373 22 245580

E-mail:

WWW:

for sales details:

sales@dekart.com

for product support:

support@dekart.com

for comments and feedback:

info@dekart.com www.dekart.com


TRADEMARKS Trademarks of third party

Bull is a registered trademark of Bull Group. ChipDrive is a trademark of Towitoko Inc. eToken is a trademark of Aladdin Knowledge Systems. iKey is a trademark of Rainbow Technologies. Hewlett-Packard is a registered trademark of Hewlett-Packard, Inc. Intel and Pentium are registered trademarks of Intel Corporation. Microsoft, Windows and Windows NT are registered trademarks of Microsoft Corporation. Multiflex, Payflex and Cryptoflex are trademarks of Schlumberger.


СОДЕРЖАНИЕ Предисловие .................................................................................................................3 Назначение руководства ........................................................................................................ 3 Требования к уровню подготовки пользователя .................................................................. 3 Соглашение по документации................................................................................................ 3 Состав и назначение документации ...................................................................................... 4 Контакты с Dekart .................................................................................................................... 5 Комментарии и отзывы ........................................................................................................... 5

Введение в продукт Dekart RSA Cryptographic Provider........................................7 Назначение и особенности продукта Dekart RSA Cryptographic Provider ........................... 7 Зачем нужна защита информации .................................................................................... 7 Сертификаты и центры сертификации ............................................................................. 8 Поставщики службы криптографии................................................................................. 10 Усиление безопасности ................................................................................................... 11 Интеграция с электронными ключами................................................................................. 11 Инициализация электронных ключей .................................................................................. 12 Управление лицензированием продукта Dekart RSA Cryptographic Provider ................... 12 Как продукт Dekart RSA Cryptographic Provider решает проблемы защиты информации13 Характеристики продукта Dekart RSA Cryptographic Provider............................................ 13 Состав продукта Dekart RSA Cryptographic Provider .......................................................... 14

Программные и технические требования продукта Dekart RSA Cryptographic Provider.........................................................................................................................17 Технические требования к персональному компьютеру.................................................... 17 Требования к программному обеспечению персонального компьютера ......................... 18

Подключение, настройка и проверка технических средств ...............................19 Проверка настройки USB-порта........................................................................................... 19 Проверка настройки USB-порта в BIOS.......................................................................... 19 Проверка настройки USB-порта в ОС ............................................................................. 20 Использование USB-ключа .................................................................................................. 21 Подключение USB-ключа................................................................................................. 21 Отключение USB-ключа ................................................................................................... 21 Подключение считывателя смарт-карт ............................................................................... 21 Подключение считывателя с USB-интерфейсом........................................................... 22 Подключение считывателя с COM- или PS/2-интерфейсом......................................... 23 Работа со смарт-картами ..................................................................................................... 23

Инсталляция, обновление и деинсталляция продукта .......................................25 Инсталляция вспомогательных компонентов ..................................................................... 25 Инсталляция считывателя смарт-карт ........................................................................... 25 Инсталляция продукта Dekart RSA Cryptographic Provider ................................................ 26 Повторная инсталляция продукта Dekart RSA Cryptographic Provider.............................. 29 Обновление продукта Dekart RSA Cryptographic Provider ................................................. 29 Деинсталляция продукта Dekart RSA Cryptographic Provider ............................................ 29 Содержание

1


Работа с продуктом Dekart RSA Cryptographic Provider ......................................31 Подготовка к использованию продукта Dekart RSA Cryptographic Provider...................... 31 Получение сертификата .................................................................................................. 31 Настройка сертификата на использование продукта .................................................... 32 Использование продукта Dekart RSA Cryptographic Provider ............................................ 35 Защита электронной почты ............................................................................................. 36 Использование продукта при генерации электронной цифровой подписи ................. 37 Использование продукта при чтении зашифрованных сообщений ............................. 38 Защита документооборота на базе Microsoft Office XP ................................................. 38 Генерация и проверка ЭЦП документа Microsoft Office XP ........................................... 39 Шифрование и расшифрование документа Microsoft Office XP ................................... 40 Использование продукта для защиты доступа к WEB-сайту ........................................ 40 Изменение PIN-кода ......................................................................................................... 42

Обнаружение и устранение неисправностей ........................................................45 Глоссарий ....................................................................................................................49

2

Dekart RSA Cryptographic Provider. Operating Guide


Предисловие Продукт Dekart RSA Cryptographic Provider (CSP) — это программно-аппаратный комплекс, включающий в себя криптографическое ядро, которое может быть встроено в прикладные программы пользователя, и набор персонифицированных электронных Ключей — смарт-карт, Token, USB Flash Drive. Криптографическое ядро реализует алгоритмы шифрования с использованием закрытого ключа шифрования, хранящегося на электронном ключе, и позволяет кодировать и декодировать данные, а также создавать цифровые подписи и осуществлять контроль их подлинности.

Назначение руководства Данное Руководство по эксплуатации предназначено для пользователей продукта Dekart RSA Cryptographic Provider. В нем подробно описывается процесс инсталляции продукта Dekart RSA Cryptographic Provider и методы его использования.

Требования к уровню подготовки пользователя Продукт Dekart RSA Cryptographic Provider расширяет криптографические возможности операционной системы Windows персонального компьютера, предоставляя дополнительные средства шифрования, легко встраиваемые в используемые приложения в целях обеспечения надежной информационной защиты. Можно выделить два типа пользователей данного продукта: •

Администратор, осуществляющий инсталляцию продукта Dekart RSA Cryptographic Provider и настройку приложений на его использование.

Стандартный пользователь, работающий с приложениями Windows и применяющий продукт в своей ежедневной работе для защиты информации.

Соглашение по документации В настоящем руководстве новые термины, ключевые понятия, а так же названия глав и секций выделены курсивом. В данном руководстве символ больше (>) используется для разделения операций внутри одного действия. Интерфейсные элементы выделены полужирным курсивом. Символы торговых марок (®, TM и др.) обозначают торговые марки Dekart, а символ звездочка (*) обозначает торговые марки третьих фирм. Чтобы отличить пользователя-владельца смарт-карты или USB-ключа от обычного пользователя компьютера, в данном руководстве для его обозначения используется термин "защищенный пользователь". Защищенный пользователь — это пользователь, имеющий смарт-карту или USB-ключ и использующий продукт Dekart RSA Cryptographic Provider. Продукт Dekart RSA Cryptographic Provider основывается на использовании электронных устройств — USB-ключей и смарт-карт, являющихся функционально аналогичными. Для унификации обозначения в руководстве использован термин электронный Ключ или просто Ключ.

Предисловие

3


Состав и назначение документации Данное Руководство по эксплуатации является частью следующего набора документов, поставляемого с продуктом Dekart RSA Cryptographic Provider: •

Карточка быстрого запуска, Quick Start Card (QSC), предназначенная для быстрой подготовки продукта Dekart RSA Cryptographic Provider к работе.

Руководство администратора и Руководство пользователя, предназначенные для описании работы с продуктом Dekart RSA Cryptographic Provider.

4

Dekart RSA Cryptographic Provider. Operating Guide


Контакты с Dekart Вы можете обратиться в компанию Dekart по различным вопросам — заказам продуктов, получению информации о продуктах, по технической поддержке и др. •

Сервис работы с покупателями Для заказа продукта Dekart RSA Cryptographic Provider или получения информации о нем обратитесь в компанию Dekart по: Телефону Электронной почте:

+373 22 245580 sales@dekart.com

или напишите по адресу: Dekart, SRL. 10 fl, 75, Alba-Iulia Chisinau MD2071 Republic of Moldova •

Техническая поддержка Вы можете получить техническую поддержку Cryptographic Provider, обратившись к нам по: Телефону Электронной почте:

для

продукта

Dekart

RSA

+373 22 245580 support@dekart.com

Комментарии и отзывы Ваши комментарии и отзывы по различным вопросам использования продукта Dekart RSA Cryptographic Provider, в том числе замечания по программно-техническим средствам продукта и документации направляйте по адресу: info@dekart.com.

Предисловие

5


Введение в продукт Dekart RSA Cryptographic Provider Назначение и особенности продукта Dekart RSA Cryptographic Provider Зачем нужна защита информации Характерными чертами современного бизнеса являются его глобализация и мобильность — с одной стороны, бизнес объединяет все больше подразделений, филиалов и партнеров, разбросанных по всему свету, с другой стороны, все больше и больше сотрудников находятся в деловых поездках. Поэтому современный бизнес основывается на оперативном взаимодействии между людьми, через системы электронной почты и другие средства сети Интернет. Благодаря доступности, надежности и открытости эта сеть обрела поистине планетарный охват. Однако именно по причине доступности и открытости Интернета необходимо уделять самое пристальное внимание обеспечению надежной информационной защиты при использовании этой сети. Никто не застрахован от компьютерных вирусов, распространяющихся по Интернету, от хакерских атак, а так же от возможных посягательств на тайну электронной переписки — ее несанкционированного просмотра или фальсификации. Другой важной особенностью современного бизнеса является все более широкий переход на "безбумажные" технологии, чему в немалой степени способствует использование корпоративных вычислительных сетей и Интернет. Интенсификация ведения бизнеса способствует увеличению потока важных документов, которыми обмениваются субъекты бизнеса. Во времена неторопливой "бумажной" технологии так же обменивались важными бумажными документами, имеющими, как и денежные купюры, определенные степени защиты — эти документы печатались на специальных бланках, скреплялись подписью отправителя, а иногда и специальной печатью. Запечатанный почтовый конверт и строгий почтмейстер так же отнюдь не способствовали краже и фальсификации важных документов. Использование бумаги в качестве носителя документов в определенной степени обеспечивало контролю целостности документа — было достаточно трудно изменить слова документа или вставить в него что-либо. Использование специального бланка, подписи и печати в определенной степени обеспечивало контроль подлинности и авторства документа. Поскольку почерк человека являлся достаточно уникальным признаком, в случае возникновения споров о целостности, подлинности или авторстве документов специальные службы, например почерковедческие экспертизы, быстро устанавливали соответствующий статус-кво (status quo). В современный электронный документооборот бумага, бланки, подписи и печати "не вписываются" в их традиционном понимании. Однако извечные проблемы — контроль целостности документа, контроль его подлинности и авторства остаются неизменными. Их приходится решать снова и снова, но уже другими, специальными электронными средствами. Например, контроль целостности документа может быть обеспечен его шифрованием с использованием специальных контрольных сумм, а контроль его подлинности и авторства — с помощью уникальной электронно-цифровой подписи (Digital Signature). При получении по электронной почте обычного сообщения или файла зачастую трудно проверить, действительно ли это сообщение или файл составлены и присланы тем человеком, от чьего имени они отправлены. Нельзя гарантировать, что полученный файл

Введение в продукт Dekart RSA Cryptographic Provider

7


не был кем-либо прочитан в процессе передачи, что недопустимо по отношению к документам, составляющим коммерческую тайну. В электронный документ можно незаметно внести изменения, которые могут привести к конфликтной ситуации между отправителем и получателем сообщения. Чтобы решить поставленные выше проблемы в процессе электронного обмена документами необходимо соблюдать специальную технологию защиты, способную гарантировать: •

Сохранение конфиденциальности передаваемых данных.

Однозначность идентификации отправителя.

Защиту данных от несанкционированных исправлений.

Механизм корректного разрешения конфликтных ситуаций.

Первые три задачи могут быть решены с помощью средств криптографической защиты информации, а четвертая — путем специального регулирования обмена электронными документами между отправителем и получателем. На смену старым бланкам, почерку, подписям и печатям для контроля подлинности и авторства документа и электронных сделок через Интернет приходят цифровая подпись и цифровой сертификат. Цифровая подпись — это электронный эквивалент "рукописной" подписи, специальный зашифрованный набор цифровых данных, который может быть использован для однозначной идентификации отправителя электронного сообщения или подписи документа. С электронной подписью не рождаются, ее выдает специальная сертифицирующая организация или центр сертификации (Certification Authority), который в дальнейшем и будет являться третейским судьей при разрешении проблем подлинности и авторства документа.

Сертификаты и центры сертификации Любой желающий может подать заявку на получение личного сертификата в специальную службу — центр сертификации (Certification Authority). В зависимости от масштабов и значимости взаимодействия "отправитель – получатель", центром сертификации может быть: •

Специальная организация ведомственного, национального или даже планетарного масштаба. В этом случае центр сертификации проверяет подлинность личности заявителя, а затем генерирует и отсылает ему сертификат в виде файла или цифрового документа.

Специальный программный продукт в корпоративной сети, автоматически раздающий уникальные цифровые сертификаты аутентифицированным пользователям. В этом случае все споры о подлинности и авторстве документов, подписанных таким сертификатом, разрешает администратор корпоративной сети.

Начиная с момента получения сертификат будет устанавливать Вашу личность так же однозначно, как анализ ДНК, только, в отличие от генетического кода, Вы можете сменить свой электронный код в любой момент. Аналогично тому, как Вашими удостоверениями являются несколько документов — паспорт, водительские права или IDкарточка — Вы можете использовать для самоидентификации несколько сертификатов. Например, один — для связи внутри компании, другой — для внешних коммуникаций, третий — для личной переписки. Цифровой сертификат должен соответствовать определенному стандарту: содержать открытый ключ субъекта (subject public key) и электронную цифровую подпись его 8

Dekart RSA Cryptographic Provider. Operating Guide


издателя (issuer). Сертификат также содержит сведения о владельце, например, информацию, которая его дополнительно идентифицирует, срок действия и правила использования сертификата. В настоящее время наиболее часто используются сертификаты на основе стандарта Международного союза телекоммуникаций ITU-T X.509 версии 3 и рекомендаций IETF (Internet Engineering Task Force) RFC 2459. Эта базовая технология, используемая в инфраструктуре открытых ключей операционной системы Windows 2000. При формировании запроса пользователя на получение сертификата генерируется пара ключей: открытый и закрытый. Открытый ключ передается в центр сертификации и вносится в сертификат пользователя. Закрытый ключ составляет секретную пару открытому и позволяет реализовать криптографическую защиту информации с асимметричными ключами. Принципы этой защиты определяются Инфраструктурой Открытых Ключей (Public Key Infrastructure), которая была разработана для современных систем электронного документооборота, рассчитанных на массового пользователя. К числу важнейших механизмов криптографической защиты информации относятся шифрование и электронная цифровая подпись (ЭЦП). Оба эти механизма представляют собой преобразования компьютерных файлов, содержащих документы. •

Шифрование. С точки зрения представления данных в компьютере оба ключа являются последовательностями символов, используемыми соответствующими программами для шифрования, расшифровки, снабжения документа электронной цифровой подписью и проверки этой подписи. Последовательности символов подобраны так, что расшифровать документ, зашифрованный чьим-либо открытым ключом, может только обладатель парного к нему закрытого ключа. Свой закрытый ключ абонент должен сохранять в тайне, а открытый ключ распространяется среди всех потенциальных отправителей документов. В таком случае, если отправитель электронного письма зашифрует отправляемый документ открытым ключом одного из абонентов, то прочитать документ сможет только этот абонент. Шифрование закрывает содержание документа от всех посторонних лиц, кроме получателя — таким образом решается первая из поставленных задач: обеспечивается конфиденциальность переписки.

Электронная цифровая подпись. Использование ЭЦП документа решает две другие задачи: подпись однозначно подтверждает авторство документа и защищает его содержание от искажения. Программа, выполняющая подписание документа, использует закрытый ключ его автора. Результатом такого подписания является добавление к тексту документа специальной строки, содержащей информацию как о тексте документа, так и о закрытом ключе его автора. Если такой документ получит участник переписки, имеющий открытый ключ автора, то с помощью программы анализа ЭЦП он сможет установить два факта: что подпись действительно принадлежит автору (только ему известен использованный закрытый ключ), и что в текст после подписания не вносились никакие исправления (иначе будет утрачено соответствие между текстом и его подписью).

Сертификаты обеспечивают механизм надежной связи между открытым ключом и субъектом, которому принадлежит соответствующий закрытый ключ. А центр сертификации является гарантом связи между открытым ключом субъекта и содержащейся в сертификате информацией по идентификации этого субъекта. Таким образом, решается четвертая задача — в случае конфликтной ситуации электронный документ, включающий сертификат, может быть предъявлен в качестве доказательства в суде.

Введение в продукт Dekart RSA Cryptographic Provider

9


Итак, автор документа должен сначала подписать его (с использованием своего закрытого ключа), затем зашифровать (открытым ключом получателя) и отправить. А получатель сначала расшифрует документ (своим закрытым ключом), а затем проверит авторство и сохранность текста (использовав открытый ключ отправителя). В операционной системе Windows все эти операции выполняются с помощью специального модуля криптографической защиты информации или поставщика службы криптографии, имеющего сертификат Microsoft на использование его для защиты информации, не содержащей сведений, составляющих государственную тайну.

Поставщики службы криптографии В ОС Windows, начиная с Windows 95, предусмотрена возможность организации защиты информации на основе единого криптографического интерфейса Microsoft CryptoAPI, позволяющего полностью реализовать представление и обмен данными в соответствии с международными рекомендациями и Инфраструктурой Открытых Ключей (Public Key Infrastructure). При этом сами криптографические функции реализованы в отдельно поставляемых криптографических модулях или в поставщиках сервиса криптографии (Cryptographic Service Provider — CSP), доступ к которым через CryptoAPI может получить любое приложение Windows. Поставщики службы криптографии ответственны за создание и хранение ключей шифрования, в том числе закрытые ключи цифровых сертификатов. В настоящее время поставщики службы криптографии применяются в основном для защиты электронных сообщений, передаваемых в формате S/MIME (Secure Multipurpose Internet Mail Extensions), для которого рекомендовано использование алгоритмов SHA-1, RC2 и т.д. Поставщики службы криптографии обладают различными возможностями, например, реализуют алгоритмы повышенной сложности или позволяют использовать дополнительные аппаратные средства. С CryptoAPI работают следующие стандартные приложения Microsoft: •

Microsoft Internet Explorer

Microsoft Outlook Express

Microsoft Outlook 2000

Microsoft Internet Information Server

Microsoft Office XP

10

Dekart RSA Cryptographic Provider. Operating Guide


Усиление безопасности Представьте себе, что кто-либо вдруг получит доступ к Вашему компьютеру. Не сомневайтесь, что первым делом он бросится читать адресованные Вам зашифрованные письма и имитировать Вашу цифровую подпись. Он скомпрометирует Ваше доброе имя и передаст всю секретную информацию Вашим конкурентам. Но только если Вы сами позволите ему подобраться к Вашим закрытым ключам. Помните — Ваша безопасность в Ваших руках. При работе с цифровыми сертификатами поставщики службы криптографии не только выполняют шифрование/расшифрование, но и обеспечивают хранение закрытых ключей в том виде и таким образом, чтобы защитить их от посягательств со стороны возможного злоумышленника. Обычно закрытый ключ, связанный с сертификатом, защищается паролем, который вводится с клавиатуры компьютера и служит средством аутентификации владельца этого сертификата. Аутентификация — это контрольный процесс, в ходе которого выполняется проверка подлинности личности пользователя, т.е. осуществляется контроль того, что пользователь именно тот человек, за которого себя выдает. Пароль запрашивается каждый раз, когда пользователь отправляет письмо с ЭЦП или открывает зашифрованное письмо. Теоретически, такой подход дает возможность оперировать закрытым ключом только законному владельцу сертификата, но на самом деле доступ к ключу будет открыт любому, кто знает пароль, то есть смог подглядеть, перехватить или взломать его. Поэтому многие компании и организации усиливают требования к защите, обоснованно считая стандартную, однофакторную аутентификацию при обращении к сертификату недостаточно надежной, и заменяют ее так называемой усиленной аутентификацией. Усиленная аутентификация основывается на двух факторах: 1. Нечто, что Вы знаете. Например, последовательность символов, используемая в качестве пароля или PIN-кода. 2. Нечто, что Вы имеете. Например, специальное электронное устройство, наличие которого может быть проверено системой при подписании или расшифровке электронного документа. Именно такими устройствами и являются электронные ключи — смарт-карта и USB-ключ. Этот вид аутентификации называют так же двухфакторной аутентификацией. Именно такую усиленную, двухфакторную аутентификацию и предоставляет продукт Dekart RSA Cryptographic Provider, так как позволяет хранить закрытый ключ сертификата в памяти смарт-карты или USB-ключа — чтобы подписать или расшифровать электронный документ с помощью этого сертификата, нужно, во-первых, иметь смарт-карту или USBключ, а во-вторых, знать идентифицирующий PIN-код. Именно эта особенность и позволяет продукту гарантировать неприкосновенность Вашего закрытого ключа, а значит и Ваше законное право на безопасную переписку: даже войдя в систему под Вашим именем, злоумышленник не сможет отправить письмо от Вашего лица или ознакомиться с Вашей конфиденциальной корреспонденцией.

Интеграция с электронными ключами Основной особенностью продукта Dekart RSA Cryptographic Provider является его тесная интеграция с аппаратными средствами аутентификации — смарт-картами и USBключами.

Введение в продукт Dekart RSA Cryptographic Provider

11


Инициализация электронных ключей Все приобретаемые электронные ключи для совместного использования с продуктом Dekart RSA Cryptographic Provider (смарт-карты и USB-ключи) подлежат обязательному форматированию специальной утилитой компании Dekart, SRL. При форматировании электронного ключа вся информация, записанная в ключе до форматирования, остается нетронутой. В память ключа лишь дописываются несколько дополнительных записей (специальных служебных файлов), которые необходимы для работы программного обеспечения компании Dekart, SRL. В эти служебные файлы ПО будет записывать свои данные. Если же служебные файлы компании Dekart, SRL. уже существовали, то они стираются и создаются заново.

Замечание. Электронные ключи, приобретаемые у компании Dekart SRL., уже отформатированы специальной утилитой для работы с продуктом.

Замечание. Если электронный ключ для работы с продуктом был приобретен пользователем не у компании Dekart, SRL., то в этом случае ему следует обратиться в службу поддержки компании Dekart, SRL. для форматирования ключа утилитой компании Dekart, SRL. Иначе ПО продукта не сможет работать с этим электронным ключом.

Управление лицензированием продукта Dekart RSA Cryptographic Provider Все приобретаемое пользователем программное обеспечение к продукту Dekart RSA Cryptographic Provider, включая сам продукт, требует обязательной регистрации в базе данных компании Dekart, SRL. После регистрации пользователю дается регистрационный номер, предъявляя который он сможет получать новые версии ПО для Dekart RSA Cryptographic Provider и техническую поддержку компании Dekart, SRL. Регистрационную форму можно найти: 1. В коробке с продуктом в бумажном виде. 2. На диске с продуктом в электронном виде. 3. На сайте http://www.dekart.com компании Dekart, SRL. Возможны следующие варианты регистрации: 1. Если продукт был приобретен пользователем в коробке, то в ней содержится серийный номер этого ПО и регистрационная форма в бумажном и электронном виде. Приобретенное таким образом ПО не имеет никаких ограничений, и после ввода серийного номера при инсталляции продукта, пользователь может полноценно работать с ПО. Однако, чтобы иметь возможность получать новые версии ПО и техническую поддержку продукта, пользователю необходимо зарегистрироваться в компании Dekart, SRL. В регистрационной форме он указывает серийный номер из коробки или диска с продуктом, имя, страну, свой e-mail. После заполнения регистрационной формы пользователю нужно отправить ее в службу поддержки либо по почте, либо по e-mail, либо с сайта компании Dekart, SRL. После регистрации пользователь получит по электронной почте свой регистрационный номер. 2. Если продукт был приобретен пользователем через Интернет, то в этом случае регистрация происходит автоматически при заполнении реквизитов платежной карты. Пользователю пришлют по почте его регистрационный номер. ПО, полученное с сайта компании Dekart, SRL., не будет работать без этого регистрационного номера.

12

Dekart RSA Cryptographic Provider. Operating Guide


3. В некоторых случаях регистрационный номер может уже содержаться в коробке с продуктом.

Замечание. В случае необходимости процедуру регистрации за пользователя может провести его региональный представитель по предварительной с ним договоренности.

Замечание. Пользователь должен предъявлять свой регистрационный номер каждый раз, когда он обращается в службу поддержки компании Dekart, SRL., когда приобретает новую версию ПО или покупает другую продукцию у компании Dekart, SRL.

Как продукт Dekart RSA Cryptographic Provider решает проблемы защиты информации Для эффективного использования продукта Dekart RSA Cryptographic Provider выполните следующие подготовительные действия: 1. Внимательно изучите данное руководство. 2. Получите электронный ключ. Каждый такой ключ (USB-ключ или смарт-карта) является строго индивидуальным, поэтому нельзя использовать для работы ключ своего коллеги. Берегите свой ключ, не теряйте и не повреждайте его, без этого ключа Вы не сможете воспользоваться своим сертификатом — подписать или расшифровать электронный документ. Не доверяйте свой ключ другим людям, всегда носите его с собой, спрятав в бумажник (смарт-карта) или прикрепив, например, к ключам от дома/автомашины (USB-ключ). 3. Подготовьте компьютер. Эта подготовка заключается в инсталляции продукта на ПК. 4. Выберите и настройте один или несколько сертификатов, на работу с продуктом. Если у Вас еще нет сертификата, обратитесь в центр сертификации или к сетевому администратору Вашей организации. 5. Настройте на работу с выбранными сертификатами приложения, для которых требуется усиленная криптографическая защита, например, систему электронной почты. При работе с сертификатами эти приложения будут вызывать методы шифрования, реализуемые продуктом, и аутентифицировать пользователя при подписании и расшифровке электронных писем. 6. Если это необходимо, установите PIN-код электронного ключа (Personal Identification Number, PIN) в среде продукта для санкционированного доступа к закрытому ключу сертификата. Постарайтесь запомнить свой PIN-код и не записывать его в легко доступных местах. Вы сможете изменить PIN-код при помощи специальных средств продукта Dekart RSA Cryptographic Provider. Пожалуйста, не забывайте его и храните втайне. Если вместе с Вашим ключом PIN-код попадет в посторонние руки, нарушитель получит доступ к Вашей информации. После этого можно приступить к работе с продуктом Dekart RSA Cryptographic Provider, поскольку это совсем несложно, так как продукт реализует защиту по усиленной схеме незаметно для Вас и практически не отличается от уже используемых Вами поставщиков службы криптографии.

Характеристики продукта Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider обладает следующими характеристиками: •

Алгоритм формирования ЭЦП: Введение в продукт Dekart RSA Cryptographic Provider

13


o RSA в соответствии со стандартом компании RSA Data Security, Inc., PKCS №1 v1.5, устанавливающим длину ключа в диапазоне от 384 до 16384. •

Алгоритмы шифрования данных: o DES в соответствии со стандартом Национального института стандартов и технологий (National Institute of Standards and Technology — NIST) США, NIST FIPS №46, устанавливающим длину ключа 56 бит. o Triple DES в соответствии со стандартом NIST FIPS №46, устанавливающим длину ключа 112 и 168 бит. o RC2 в соответствии с требованиями группы Internet Engineering Task Force (IETF), IETF RFC №2268, устанавливающими длину ключа в диапазоне от 1 до 128 бит. o AES в соответствии со стандартом NIST FIPS №197, устанавливающим длину ключа 128, 192 и 256 бит.

Алгоритмы аутентификации сообщения (верификации ЭЦП): o HMAC в соответствии с требованиями IETF RFC №2104. o MAC в соответствии со стандартом NIST FIPS №113.

Алгоритмы выработки значения хэш-функции: o MD2 в соответствии с требованиями IETF RFC №1319. o MD4 в соответствии с требованиями IETF RFC №1320. o MD5 в соответствии с требованиями IETF RFC №1321. o SHA в соответствии со стандартом NIST FIPS №180.

Алгоритм шифрования сеансовых ключей: o RSA в соответствии со стандартом PKCS №1 v1.5, с поддерживаемой длиной ключа в диапазоне от 384 до 16384 бит.

Хранение асимметричных ключей в системном реестре с доступом для текущего пользователя компьютера.

Хранение асимметричных ключей на микропроцессорной карте или USB-ключе с персональным кодом держателя карты.

Поддерживаются считыватели смарт-карт, отвечающие спецификации PC/SC.

Поддерживаются смарт-карты с длиной PIN-кода от 0 до 8 алфавитно-цифровых символов.

Состав продукта Dekart RSA Cryptographic Provider В состав одного пакета Dekart RSA Cryptographic Provider входят следующие обязательные компоненты: •

Компакт-диск с программными компонентами продукта.

Опционально – электронный Ключ.

Карточка быстрого запуска QSC (Quick Start Card).

Данное Руководство по эксплуатации.

В состав одного пакета Dekart RSA Cryptographic Provider могут входить следующие необязательные компоненты (в зависимости от варианта поставки): 14

Dekart RSA Cryptographic Provider. Operating Guide


ПО корпорации Microsoft для поддержки смарт-карт.

Введение в продукт Dekart RSA Cryptographic Provider

15


Программные и технические требования продукта Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider является компактным продуктом, интегрированным с оборудованием электронных ключей, производимых другими компаниями. Он не выдвигает каких-либо значительных требований к компьютеру, на котором функционирует. В данной главе приводятся: •

Требования продукта Dekart RSA Cryptographic характеристикам персонального компьютера.

Список операционных систем (ОС) и соответствующих им пакетов обновления, необходимых для функционирования продукта.

Provider

к

техническим

Технические требования к персональному компьютеру Продукт Dekart RSA Cryptographic Provider не выдвигает каких-либо существенных дополнительных требований к оборудованию ПК. Эти требования определяются прежде всего используемой на компьютере операционной системой. Для инсталляции продукта Dekart RSA Cryptographic Provider соответствующий ПК должен быть оснащен устройством чтения компакт-дисков. Для функционирования продукта Dekart RSA Cryptographic Provider необходим ПК со следующими минимальными характеристиками (относятся прежде всего к Windows 95 OSR2.1): •

Процессор Intel Pentium* 166 MHz.

Оперативная память 16 MB.

Свободное пространство на жестком диске, достаточное для установки модулей продукта (200 KB) и среды eToken RTE (500 KB) или драйверов iKey* (2 MB).

Кроме того, этот ПК обязательно должен быть оснащен соответствующими портами, посредством которых осуществляется работа с электронными ключами: •

USB-портом, если используется USB-ключ или считыватель смарт-карт, работающий через этот порт.

COM-портом, если используется считыватель смарт-карт, работающий через этот порт.

PS/2-интерфейсом, если используется считыватель смарт-карт, работающий через этот интерфейс.

Если у компании Dekart, SRL. Вы приобрели только программный компонент продукта (без электронных ключей и соответствующего им считывателя) у Вас должен быть один из поддерживаемых электронных Ключей (с полным списком можно ознакомиться на сайте www.dekart.com):

Программные и технические требования продукта Dekart RSA Cryptographic Provider

17


Требования к программному обеспечению персонального компьютера Для функционирования продукта Dekart RSA Cryptographic Provider на ПК необходимо наличие одной из следующих операционных систем: •

Windows* 95 OSR2.1.

Windows 98 SE.

Windows Me.

Windows NT* 4 Workstation, Server с пакетом обновления Service Pack 6.

Windows 2000 Professional, Advanced Server с пакетом обновления Service Pack 3 или с более поздним.

Windows XP Professional, Home Edition.

Если электронные ключи Вы приобретали самостоятельно, а не совместно с продуктом Dekart RSA Cryptographic Provider, например, в составе других продуктов, на Вашем ПК должен быть инсталлирован драйвер электронного ключа (для соответствующей ОС Windows). За дополнительной информацией и новыми версиями ПО обратитесь к поставщику Вашего считывателя или на сайт компании-производителя.

18

Dekart RSA Cryptographic Provider. Operating Guide


Подключение, настройка и проверка технических средств Замечание. Во избежание проблем с установкой считывателя смарт-карт/ USB-ключа рекомендуется сначала инсталлировать программное обеспечение электронного ключа (драйверы, утилиты), и лишь потом подключить считыватель/USB-ключ к компьютеру (если, конечно, это оборудование не было инсталлировано ранее для работы с другими продуктами). В данной главе рассматриваются: •

Действия пользователя по настройке USB-порта.

Действия пользователя по настройке и подключению USB-ключа.

Действия пользователя по настройке и подключению считывателя смарт-карт.

Проверка настройки USB-порта Проверка настройки USB-порта в BIOS Посредством универсальной последовательной шины USB (Universal Serial Bus) можно подсоединять и отсоединять периферию, не вскрывая корпус ПК и даже не выключая питания. USB автоматически обнаруживает эти устройства и конфигурирует соответствующее программное обеспечение. Естественно, чтобы добиться работоспособности USB, на компьютере должна быть установлена ОС, поддерживающая USB-порты. К шине USB можно одновременно подключить до 127 периферийных устройств. Подключение производится с помощью концентраторов — специальных устройств, которые усиливают сигнал и, одновременно, обеспечивают питанием периферийные устройства. Для подключения USB-ключа и считывателя смарт-карт с USB-интерфейсом к компьютеру необходим стандартный порт USB типа A, который имеется так же в некоторых моделях мониторов и клавиатур. Для удобства подключения может применяться специальный USB-удлинитель (его можно приобрести отдельно), позволяющий вынести порт USB на лицевую панель компьютера. Прежде чем начать использование USB-ключа или считывателя смарт-карт с USBинтерфейсом, следует проверить, разрешено ли использование функций USB настройками системы BIOS (Basic Input/Output System) на Вашем компьютере. В зависимости от производителя компьютера и используемой системы BIOS проверка установки этих настроек в BIOS Setup Utility может быть различной. За инструкциями по проверке установки функций BIOS на Вашем компьютере обратитесь к его эксплуатационной документации. Например, в случае использования AwardBIOS Setup Utility, при включении питания компьютера Вам необходимо выполнить следующие действия: 1. Нажмите клавишу Del для входа в утилиту BIOS Setup Utility (Инструкции по запуску этой утилиты можно найти в эксплуатационной документации Вашего компьютера.) 2. С помощью клавиши Стрелка вправо выберите меню Advanced. Нажмите клавишу Enter. 3. С помощью клавиши Стрелка вниз выберите элемент PCI Configuration и откройте его меню с помощью клавиши Enter. Подключение, настройка и проверка технических средств

19


4. В появившемся меню PCI Configuration найдите элемент USB Function и убедитесь, что его значение установлено в состояние Enable. Если его значение соответствует Disable, с помощью клавиш Enter и Стрелки измените его на Enable. 5. Нажмите клавишу ESC для выхода в меню Advanced, затем выберите Exit и нажмите Enter. 6. Нажмите Enter для сохранения сделанных изменений.

Проверка настройки USB-порта в ОС После проверки установки функций USB в BIOS следует убедиться, что поддержка USB установлена и в операционной системе Windows*.

Замечание. ОС Windows 95 не предназначена для использования USB порта и не будет с ним работать, даже если такой порт в компьютере есть и его использование подтверждают настройки BIOS. Для использования USB замените Windows 95 на Windows 95 OSR2.1. В Windows XP Professional, например, для проверки использования USB-порта надо выполнить следующие действия: 1. Правой кнопкой мыши щелкните My Computer > Properties > Hardware > Device Manager. 2. Появится окно Device Manager, пример которого изображен на рисунке, со списком устройств, представленных в системе. Убедитесь, что в этом списке присутствует раздел Universal Serial Bus Controllers, а в нем содержится элемент USB root Hub.

Наличие USB в списке Device Manager

20

Dekart RSA Cryptographic Provider. Operating Guide


Использование USB-ключа Подключение USB-ключа Прежде чем подключать USB-ключ к Вашему компьютеру необходимо: •

Проверить настройку USB-порта в BIOS (как описано выше в секции Проверка настройки USB-порта в BIOS).

Проверить настройку USB-порта в ОС Windows (как описано выше в секции Проверка настройки USB-порта в ОС).

Инсталлировать драйверы и утилиты для поддержки электронного ключа.

Затем следует подключить ключ к порту USB.

Замечание. Порт USB не является симметричным, поэтому ключ надо вставлять в USBпорт только в строго определенном положении, его нельзя переворачивать во избежание повреждения порта или ключа. Подключайте USB-ключ аккуратно, без перекоса. Если драйверы USB-ключа установлены в Вашей системе, после подключения ключа должен загореться его световой индикатор, означающий готовность к работе.

Отключение USB-ключа Отключение USB-ключа от порта USB осуществляется путем его аккуратного извлечения из разъема порта. Ключ рассчитан на 5000 подключений/отключений, поэтому осуществляйте эти действия осторожно.

Подключение считывателя смарт-карт С продуктом Dekart RSA Cryptographic Provider может быть использован один из считывателей смарт-карт:, соответствующих спецификации PC/SC. В зависимости от модели подключение считывателя к компьютеру может осуществляться через один из трех следующих портов: •

COM-порт (при несоответствии контактов в разъеме порта — 25 или 9 — может потребоваться переходник), штекер и переходник соответствующего считывателя изображены на рисунке

COM-интерфейс считывателя •

PS/2-порт (в этом случае к выходному гнезду считывателя можно подключить мышь или клавиатуру), штекер соответствующего считывателя изображен на рисунке. Подключение, настройка и проверка технических средств

21


PS/2-интерфейс считывателя •

USB-порт, штекер соответствующего считывателя изображен на рисунке.

USB-интерфейс считывателя

Замечание. Инструкции по подключению и работе со считывателем и смарт-картами можно найти в эксплуатационной документации, входящей в комплект поставки этого оборудования. Следуйте соответствующим рекомендациям.

Подключение считывателя с USB-интерфейсом Прежде чем подключать считыватель к Вашему компьютеру необходимо: •

Проверить настройку USB-порта в BIOS (как описано выше в секции Проверка настройки USB-порта в BIOS).

Проверить настройку USB-порта в ОС Windows (как описано выше в секции Проверка настройки USB-порта в ОС).

Инсталлировать драйверы и утилиты считывателя. Если считыватель смарт-карт входит в комплект поставки продукта Dekart RSA Cryptographic Provider, все необходимые для его функционирования драйверы и утилиты будут содержаться на компакт-диске с продуктом. Более новые версии этого ПО можно получить с сайта соответствующего производителя считывателя.

Инструкции по инсталляции содержатся в соответствующей секции главы 4 Инсталляция, обновление и деинсталляция продукта. Подключение считывателя смарт-карт к порту USB должно осуществляется аккуратно, без перекоса.

22

Dekart RSA Cryptographic Provider. Operating Guide


Замечание. Штекер считывателя надо вставлять в USB-порт только в строго определенном положении, его нельзя переворачивать во избежание повреждения порта или штекера. После подключения считывателя, возможно, потребуется перезагрузить ОС. При загрузке системы Windows с функциями Plug-and-play (Windows 98, Windows 2000 Professional, Windows XP, Windows Me) сами обнаружат и распознают подключенный Вами считыватель.

Замечание. ОС Windows 2000 может не обнаружить считыватель с интерфейсом USB после перезагрузки, тогда нужно будет еще раз перезагрузить компьютер. Отключение считывателя от порта USB надо осуществлять только при изменении конфигурации шины USB, оно осуществляется путем извлечения штекера USB считывателя из порта. Более подробную информацию о подключении и отключении USB-считывателя смарткарт можно найти в эксплуатационной документации, поставляемой вместе со считывателем.

Подключение считывателя с COM- или PS/2-интерфейсом Подключение считывателя смарт-карт с интерфейсом осуществляется так, как это изображено на рисунках.

PS/2

или

COM-порта

Замечание. Подключение и отключение считывателя смарт-карт с интерфейсом PS/2 или COM-порта следует осуществлять только при выключенном компьютере. После подключения считывателя надо снова включить компьютер и загрузить ОС. При загрузке системы Windows с функциями Plug-and-play (Windows 95, Windows 98, Windows 2000 Professional, Windows XP, Windows Me) сами обнаружат и распознают подключенный Вами считыватель.

Замечание. Некоторые COM-считыватели имеют собственный блок питания (либо используют электропитание интерфейса PS/2). Не забудьте предварительно включить блок питания в розетку (или подключить считыватель к интерфейсу PS/2). После подключения необходимо проверить работоспособность считывателя. При вставлении в него смарт-карты должен загораться его индикатор готовности к работе. Более подробную информацию о подключении и отключении считывателя смарт-карт можно найти в эксплуатационной документации, поставляемой вместе со считывателем.

Работа со смарт-картами Смарт-карта вставляется в считыватель так же как дискета в обычный трехдюймовый дисковод. Для удобства на каждой карте изображена стрелка, в направлении которой карту следует поднести к прорези считывателя и легким нажатием вставить до упора. Обмен данными между считывателем и картой происходит через металлическую пластинку, защищающую микрочип, встроенный в пластиковую подложку таким образом, чтобы не выдаваться на ровной поверхности и не препятствовать перемещению карты. Этим и объясняется долгий срок службы пластиковых карт. Наибольшему износу при работе со смарт-картами подвергается считыватель, количество вставок/извлечений карт в который ограничивается несколькими тысячами. Чтобы считыватель прослужил Вам долго, соблюдайте следующие правила: •

Избегайте резких движений при вставлении и изъятии карты. Подключение, настройка и проверка технических средств

23


Регулярно протирайте карту чуть влажной салфеткой, чтобы накапливающаяся на ней пыль не попадала в считыватель.

Не вынимайте карты из считывателя при мигании светового индикатора.

Замечание. Более подробные инструкции по работе со считывателем и смарт-картами можно найти в эксплуатационной документации, входящей в комплект поставки этого оборудования. Следуйте соответствующим рекомендациям.

24

Dekart RSA Cryptographic Provider. Operating Guide


Инсталляция, обновление и деинсталляция продукта Инсталляция Dekart RSA Cryptographic Provider осуществляется на персональном компьютере (ПК) опытным пользователем операционной системы Windows. Перед началом инсталляции необходимо убедиться, что ПК соответствует программным и техническим требованиям продукта. В данной главе подробно описывается порядок действий пользователя при инсталляции компонентов продукта Dekart RSA Cryptographic Provider: •

В начале осуществляется инсталляция в системе вспомогательных компонентов продукта — считывателя смарт-карт или USB-ключа.

Затем осуществляется инсталляции основных компонентов продукта.

Так же описываются действия пользователя при обновлении и деинсталляции продукта Dekart RSA Cryptographic Provider.

Инсталляция вспомогательных компонентов Секция Инсталляция вспомогательных компонентов описывает инсталляцию дополнительных программных компонентов — драйверов и утилит электронных ключей, которые будут использоваться на Вашем компьютере.

Инсталляция считывателя смарт-карт Считыватель смарт-карт может функционировать только при наличии драйверов для соответствующей ОС Windows, служащих программным интерфейсом между ним и использующими его приложениями. Если Вы приобрели считыватели смарт-карт самостоятельно, для инсталляции соответствующих драйверов воспользуйтесь программным обеспечением и инструкциями, поставляемыми вместе с этим оборудованием. Последнюю версию драйверов можно получить с сайта производителя считывателя.

Замечание. В случае использования считывателя смарт-карт с USB-интерфейсом перед инсталляцией его драйверов рекомендуется проверить установку функций USB в BIOS и ОС Windows. Драйверы считывателя, входящего в состав продукта Dekart RSA Cryptographic Provider устанавливаются следующим образом: 1. Вставьте компакт-диск продукта Dekart RSA Cryptographic Provider в устройство чтения компакт-дисков. С помощью функции автозапуска с компакт-диска будет запущен модуль инсталляции продукта. На экране должно появится меню инсталляции. Если это меню не появляется, возможно, функция автозапуска в Вашей системе запрещена. Разрешите ее и вставьте компакт-диск снова или запустите модуль SETUP.EXE с компакт-диска вручную. 2. Выберите Установить драйвер считывателя. 3. Следуйте указаниям программы. 4. Если по завершении инсталляции предлагается перезагрузить компьютер, выполните перезагрузку, затем подключите считыватель. Инсталляция, обновление и деинсталляция продукта

25


5. Проверьте работоспособность считывателя. При вставке смарт-карты должен загораться индикатор считывателя, а при обмене данными со смарт-картой этот индикатор должен мигать.

Замечание. Во избежание сбоев не вынимайте смарт-карту из считывателя, пока индикатор мигает. Если считыватель исправен и инсталлирован правильно, его название должно появиться в списке оборудования компьютера. Например, в Windows XP Professional Вы можете проверить это с помощью окна Device Manager, выполнив действия описанные в секции Проверка настройки USB-порта в ОС. Если его название не появилось в списке оборудования, попробуйте инсталлировать его еще раз или обратитесь в службу технической поддержки производителя считывателя. Перейдите к инсталляции основных компонентов продукта, описанных в секции Инсталляция продукта.

Инсталляция продукта Dekart RSA Cryptographic Provider Инсталляцию Dekart RSA Cryptographic Provider осуществляет опытный пользователь операционной системы Windows только после выполнения соответствующих действий секции Инсталляция дополнительных компонентов настоящей главы. Для инсталляции продукта выполните следующие действия: 1. Завершите работу всех активированных на компьютере программ Windows. 2. Вставьте компакт-диск продукта Dekart RSA Cryptographic Provider в устройство чтения компакт-дисков. С помощью функции автозапуска с компакт-диска будет запущен модуль инсталляции продукта. На экране должно появится меню инсталляции. Если это меню не появляется, возможно, функция автозапуска в Вашей системе запрещена. Разрешите ее и вставьте компакт-диск снова или запустите модуль SETUP.EXE с компакт-диска вручную. 3. Выберите Установить Dekart RSA Cryptographic Service Provider 4. Открывается диалоговое окно приветствия программы инсталляции, изображенное на рисунке.

26

Dekart RSA Cryptographic Provider. Operating Guide


Приветствие программы инсталляции 5. Щелкните Next. Появится окно с текстом лицензионного соглашения.

Окно с текстом лицензионного соглашения 6. Внимательно ознакомьтесь с текстом лицензионного соглашения между Вами, как пользователем продукта Dekart RSA Cryptographic Provider и компанией Dekart, SRL. Если Вы согласны с условиями соглашения, установите флажок Yes, I accept this agreement и щелкните Next. (Если Вы не согласны с условиями лицензионного соглашения, не устанавливайте этот флажок. В этом случае продолжение инсталляции будет прекращено.) Появится окно готовности к процессу инсталляции. Инсталляция, обновление и деинсталляция продукта

27


Запуск инсталляции 7. Щелкните Finish и в системный каталог будут скопированы все файлы, необходимые для работы продукта. 8. При появлении окна, изображенного на рисунке, щелкните Yes. После перезагрузки компьютера продукт будет готов к использованию.

Перезагрузка компьютера

28

Dekart RSA Cryptographic Provider. Operating Guide


Повторная инсталляция продукта Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider может быть инсталлирован пользователем повторно. Это, например, может потребоваться в следующих случаях: •

Операционная система была переустановлена.

Потеряна функциональность продукта по той или иной причине.

При необходимости производится повторная инсталляция вспомогательного оборудования (считывателя смарт-карт или USB-ключа) в соответствии с инструкциями секции Инсталляция вспомогательных компонентов. Для повторной инсталляции нужно запустить с компакт-диска продукта Dekart RSA Cryptographic Provider файл SETUP.EXE и выбрать в главном меню Установить Dekart RSA Cryptographic Provider. Дальнейшие действия аналогичны действиям, описанным в секции Инсталляция продукта данной главы.

Обновление продукта Dekart RSA Cryptographic Provider Обновление продукта Dekart RSA Cryptographic Provider осуществляется при получении новой версии данного продукта. Для обновления нужно запустить с компакт-диска продукта Dekart RSA Cryptographic Provider файл SETUP.EXE и выбрать в главном меню Установить Dekart RSA Cryptographic Service Provider. Утилита инсталляции сама найдет текущую версию продукта и предложит ее обновить. Дальнейшие действия аналогичны действиям, описанным в секции Инсталляция продукта данной главы.

Деинсталляция продукта Dekart RSA Cryptographic Provider В отдельных случаях Вам может потребоваться деинсталляция продукта Dekart RSA Cryptographic Provider.

Замечание. Если какие-либо Ваши сертификаты были настроены на работу с Dekart RSA Cryptographic Provider, Вы не сможете их использовать после деинсталляции продукта. Деинсталляцию продукта можно осуществить средствами ОС Windows следующим образом: 1. В меню Start выберите Settings > Control Panel. 2. Дважды щелкните Add/Remove Programs. В открывшемся окне будет выведен список программ, инсталлированных в данной операционной системе.

Инсталляция, обновление и деинсталляция продукта

29


Установка и удаление программ 3. Выберите в этом списке программу Dekart RSA Cryptographic Provider (например, Dekart RSA Cryptographic Provider 1.11) и щелкните Add/Remove…. 4. Подтвердите удаление программы в появившемся диалоговом окне. 5. Перезагрузите компьютер. Аналогично можно деинсталлировать библиотеку поддержки Dekart Smartkey Library.

Замечание. Если на Вашем компьютере установлены другие продукты компании Dekart, SRL., основанные на программно-аппаратной технологии, не деинсталлируйте библиотеку Dekart Smartkey Library. В противном случае Вы можете нарушить работоспособность этих программных продуктов. Считыватель смарт-карт или USB-ключ можно деинсталлировать аналогично. Для этого запустите программу Add/Remove Programs, найдите в предложенном списке удаляемый считыватель и щелкните Add/Remove….

30

Dekart RSA Cryptographic Provider. Operating Guide


Работа с продуктом Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider реализует алгоритмы шифрования данных на основе цифровых сертификатов и инфраструктуры открытых ключей Public Key Infrastructure (PKI) через интерфейс CryptoAPI. Эта технология предполагает, что открытый ключ шифрования, содержащийся в сертификате, связан с поставщиком службы криптографии, хранящим парный ему закрытый ключ. Защита конфиденциальной информации в пользовательских приложениях основана на применении криптоалгоритмов и некоторой личной информации пользователя. Примером такой информации могут служить открытый и закрытый ключи сертификата пользователя, криптоалгоритмы же реализуются соответствующими поставщиками службы криптографии. Таким образом, при выполнении криптографических операций приложение обращается к некоторому сертификату и задействует поставщика службы криптографии, на который этот сертификат настроен. В данной главе описываются следующие стадии работы с продуктом: •

Подготовка к использованию продукта, которая заключается в том, что пользователь выбирает и настраивает на работу с продуктом какой-либо свой цифровой сертификат.

Применение продукта и выбранных сертификатов для криптографической защиты сообщений электронной почты Outlook Express и документов Microsoft Office ХР.

Управление электронными ключами — установка и смена PIN-кода.

Подготовка к использованию продукта Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider предназначен для работы с сертификатами стандарта Международного союза телекоммуникаций ITU-T X.509. Если Вы хотите использовать совместно с продуктом уже имеющийся сертификат, перейдите к секции Настройка сертификата на использование продукта, но прежде убедитесь, что у Вас нет электронных документов, зашифрованных с помощью этого сертификата и другого поставщика службы криптографии. Иначе, после смены поставщика службы криптографии, Вы уже не сможете их расшифровать. В этом случае рекомендуется получить новый сертификат, см. подробнее секцию Получение сертификата.

Получение сертификата В соответствии с корпоративной политикой Вашей компании обратитесь в одну из следующих организаций. •

В службу сертификации своей организации для получения сертификата, который будет служить Вашим удостоверением личности при обмене электронными сообщениями и документами в пределах Вашей организации.

Независимый центр сертификации, рекомендованный администратором Вашей корпоративной сети для получения сертификатов, используемых для внешних коммуникаций.

Работа с продуктом Dekart RSA Cryptographic Provider

31


Сертифицирующая организация генерирует сертификат, который Вы можете экспортировать на любой доступный Вам ресурс, например на жесткий диск ПК, в виде файла, содержащего сертификат и соответствующий ему закрытый ключ. При экспорте Вы задаете пароль, который требуется для защиты доступа к закрытому ключу при установке сертификата в операционной системе ПК. В момент установки, или импорта, новому сертификату автоматически ставится в соответствие какой-либо имеющийся базовый поставщик службы криптографии. Сертификат может быть установлен в ОС с помощью приложения Outlook Express следующим образом: 1. Запустите Outlook Express. 2. В меню Tools щелкните Parameters…, выберите вкладку Security и щелкните Digital IDs…. В появившемся окне выберите вкладку Personal и щелкните Import…. 3. Щелкните Next > Browse, укажите в диалоговом окне путь к файлу, содержащему Ваш сертификат, и щелкните Open > Next . 4. Введите пароль доступа к сертификату в поле Password и установите флажок в поле Mark the private key as exportable, щелкните Next > Next > Finish.

Замечание. Файл, из которого Вы импортируете сертификат и закрытый ключ, защищен только паролем (однофакторная защита), поэтому сразу после импорта рекомендуется удалить файл с диска ПК или другого ресурса, откуда он может быть украден. Однако этот файл может потребоваться Вам в случае потери закрытого ключа сертификата (при выходе из строя смарт-карты или USB-ключа). Чтобы иметь возможность восстановить секретный ключ, перенесите файл с сертификатом на съемный носитель, например дискету 3,5’, и держите этот носитель в сейфе.

Настройка сертификата на использование продукта Базовый поставщик службы криптографии, на который настраивается новый сертификат, реализует с помощью пары ключей алгоритмы шифрования, и позволяет установить пароль доступа к закрытому ключу. Однако закрытый ключ при этом хранится в системном реестре Windows, где он практически беззащитен перед угрозой хищения. Как правило, пользователи задают в качестве пароля короткие легко запоминающиеся слова, поэтому "заинтересованное лицо", оснащенное современными средствами взлома, получив доступ к ПК, сможет их разгадать в очень короткий срок. Если секретный ключ попадет в чужие руки, сертификат будет скомпрометирован и всякая защита с его помощью потеряет смысл. Продукт Dekart RSA Cryptographic Provider сводит риск хищения к нулю, так как позволяет хранить закрытый ключ настроенного на него сертификата в памяти смарткарты/USB-ключа и реализует при доступе к закрытому ключу процесс двухфакторной аутентификации пользователя. Чтобы настроить сертификат на Dekart RSA Cryptographic Provider, достаточно изменить закрытый ключ посредством утилиты миграции ключей Cryptographic Key Migration Tool, поставляемой совместно с продуктом. Для этого выполните следующие действия:

32

Dekart RSA Cryptographic Provider. Operating Guide


1. В меню Start укажите пункт Settings и щелкните по папке Control Panel. Появится окно Control Panel.

Утилита преобразования ключа 2. Для запуска утилиты миграции дважды щелкните значок Dekart Key Migration. Появится окно Cryptographic Key Migration Tool.

Выбор поставщика службы криптографии 3. Щелкните Select и выберите в появившемся списке сертификат, который нужно настроить на Dekart RSA Cryptographic Provider. После этого в окне отобразятся основные сведения о сертификате — в поле Crypto Provider будет указано название поставщик службы криптографии, сопоставленного закрытому ключу этого сертификата.

Работа с продуктом Dekart RSA Cryptographic Provider

33


4. Выберите в раскрывающемся списке Target Crypto Provider поставщик службы криптографии компании Dekart, SRL., например Dekart RSA Cryptographic Provider v1.0, и щелкните Migrate.

Выбор способа хранения закрытого ключа 5. В появившемся окне пользователю предлагается сохранить закрытый ключ на электронном носителе — смарт-карте или USB-ключе. o Если у Вас есть электронный ключ и Вы хотите использовать его для усиления защиты доступа к Вашему сертификату, щелкните Yes. При этом закрытый ключ сертификата будет записан в защищенную память микрочипа и доступ к нему можно будет получить только при наличии электронного ключа. o В противном случае щелкните No, и закрытый ключ сертификата будет размещен в системном реестре. 6. Если Вы выбрали усиленный вариант защиты, Вам будет предложено указать в списке Destination Reader окна считыватель смарт-карт с картой, на которой которую Вы собираетесь использовать, или идентификатор USB-ключа.

Замечание. Вы можете также закрыть доступ к данным на электронном ключе специальным PIN-кодом, поставив флажок в поле Change PIN. Более подробные инструкции приведены в секции Изменение PIN-кода. Подключите смарт-карту или USB-ключ и щелкните OK.

Выбор носителя 7. Если в момент записи на смарт-карте или USB-ключе уже находится закрытый ключ какого-либо сертификата, сопоставленный Dekart RSA Cryptographic Provider, утилита миграции распознает его и предложит заменить.

Замена данных на ключе 34

Dekart RSA Cryptographic Provider. Operating Guide


Замечание. Dekart RSA Cryptographic Provider не оставляет дубликата закрытого ключа, необходимого для аутентификации владельца сертификата, поэтому после удаления закрытого ключа использовать соответствующий ему сертификат будет невозможно. o Для того чтобы удалить старый ключ и записать новый, щелкните Yes. o Если Вы хотите сохранить ключ на другом носителе, щелкните No, чтобы снова вызвать окно, изображенное на рис. Замена данных на ключе. 8. Появление окна, изображенного на рис. Успешное завершение операции, означает, что ключ был записан на карту или сохранен в реестре и теперь приложения, работающие с данным сертификатом, будут обращаться к криптографическим функциям Dekart RSA Cryptographic Provider.

Успешное завершение операции

Замечание. Так как на электронном ключе может храниться только один закрытый ключ, для того чтобы усилить защиту доступа к нескольким сертификатам, потребуется столько же электронных ключей.

Использование продукта Dekart RSA Cryptographic Provider Продукт Dekart RSA Cryptographic Provider не только реализует алгоритмы шифрования, но и позволяет применять контролировать правомерность использования цифровых сертификатов. С помощью усиленной двухфакторной аутентификации владельца продукт поднимает защиту на качественно новый уровень, поскольку защищает сертификат от несанкционированного использования. При помощи сертификата, настроенного на работу с продуктом, Вы можете генерировать ЭЦП по усиленной схеме. Такая подпись гарантирует, что содержащие ее сообщения или документы были созданы именно Вами, и не были подменены или исправлены после того, как Вы их отправили или сохранили. Даже если кто-то получит доступ к Вашему компьютеру, например, войдет в ОС под Вашим именем, он не сможет воспользоваться Вашим сертификатом, закрытый ключ от которого надежно хранится в памяти микрочипа, таким образом, подтверждая Ваше уникальное право отправлять письма от своего имени или вносить изменения в важные документы. Получая сообщения, зашифрованные открытым ключом Вашего сертификата, Вы можете быть уверены, что во время передачи их никто не прочитал, так как для расшифровки необходим Ваш закрытый ключ. И даже если злоумышленник получит доступ к Вашему почтовому ящику, он не сможет ознакомиться с вашей конфиденциальной перепиской, так как необходимый для этого закрытый ключ хранится не на компьютере, который Вы иногда оставляете без присмотра, а на электронном ключе (смарт-карте/eToken/iKey), который Вы всегда держите при себе.

Работа с продуктом Dekart RSA Cryptographic Provider

35


Итак, продукт реализует стандартные функции шифрования, с помощью которых можно: •

Обеспечить защиту электронной переписки. o Подписывать исходящие сообщения с применением усиленной аутентификации владельца сертификата. o Шифровать исходящие сообщения. o Расшифровывать входящие сообщения с применением усиленной аутентификации владельца сертификата. o Проверять ЭЦП входящих сообщений.

Обеспечить защиту электронного документооборота. o Подписывать документы Microsoft Office XP. o Шифровать документы Microsoft Office XP.

Обеспечить защищенный и аутентифицированный доступ к WEB-сайтам.

Защита электронной почты Продукт Dekart RSA Cryptographic Provider позволяет обеспечить защиту сообщений электронной почты, соответствующих спецификации Secure Multi-Purpose Internet Mail Extensions (S/MIME). Эта спецификация поддерживается наиболее распространенными почтовыми приложениями, работающими с CryptoAPI, в том числе приложением Outlook Express, на примере которого далее будет рассмотрено использование продукта. Dekart RSA Cryptographic Provider реализует стандартные функции шифрования, рекомендованные для защиты электронных сообщений, и позволяет, прежде всего, создавать электронные цифровые подписи. При генерации ЭЦП приложение Outlook Express обращается к поставщику службы криптографии какого-либо сертификата пользователя, установленного в ОС. Если Вашей учетной записи в ОС соответствуют несколько установленных сертификатов, назначьте сертификат, настроенный на продукт, используемым по умолчанию. Для этого выполните следующие действия: 1. Запустите приложение Outlook Express. 2. Щелкните Tools > Parameters… > Security в окне Options > Digital IDs… и выберите вкладку Personal. 3. Выделите в списке строчку с сертификатом, который Вы будете использовать по умолчанию и щелкните OK. О создании ЭЦП см. подробнее секцию Использование продукта при генерации электронной цифровой подписи. Чтобы зашифровать сообщение, отправляемое Вашему абоненту, Вы должны получить у него сертификат, содержащий открытый ключ, применяемый при шифровании. Сертификат абонента записывается в реестр Вашей ОС, когда Вы впервые открываете полученное от него подписанное сообщение. Наличие этого сертификата можно проверить в списке вкладки Other Users окна Options. В момент отправки этому абоненту зашифрованного сообщения Outlook Express будет обращаться к любому из установленных в ОС поставщиков службы криптографии, реализующему указанный в сертификате алгоритм шифрования, в том числе и к продукту Dekart RSA Cryptographic Provider.

36

Dekart RSA Cryptographic Provider. Operating Guide


Аналогично криптографические алгоритмы продукта могут быть использованы для расшифровки ЭЦП входящего сообщения, контроля целостности сообщения и проверки идентичности содержащегося в подписи сертификата отправителя и его сертификата, уже хранящегося в реестре ОС. Проверка ЭЦП осуществляется автоматически в момент открытия сообщения и в случае каких-либо несоответствий выдается сообщение об ошибке. Можно настроить приложение Outlook Express так, чтобы оно автоматически подписывало и шифровало все исходящие сообщения. Для этого нужно во вкладке Personal диалогового окна Options установить флажки в поле Encrypt contents and attachments for all outgoing messages и в поле Digitally sign all outgoing messages соответственно. Если входящее сообщение было зашифровано открытым ключом сертификата, настроенного на работу с продуктом, Outlook Express будет использовать для расшифровки именно этот сертификат и продукт Dekart RSA Cryptographic Provider, независимо от того, какой сертификат в данный момент используется по умолчанию. Подробнее см. секцию Использование продукта при чтении зашифрованных сообщений.

Использование продукта при генерации электронной цифровой подписи Для того чтобы подписать сообщение в Outlook Express, выполните следующие действия: 1. Запустите приложение Outlook Express. Создайте новое сообщение, щелкнув New > Message. В окне New Message составьте текст сообщения, укажите получателя в поле To и тему в поле Topic. 2. В меню Tools щелкните Digitally Sign. В правой части окна появится значок цифровой подписи. 3. Чтобы отправить сообщение, щелкните Send. Outlook Express генерирует цифровую подпись в момент отправки сообщения. Для этого он обращается к криптографическим функциям продукта и закрытому ключу. Если сертификат настроен на продукт так, что закрытый ключ хранится на электронном ключе (двухфакторная защита), система усиленной защиты в диалоговом окне аутентификации защищенного пользователя предложит Вам подключить электронный ключ.

Замечание. Установив флажок в поле Change PIN окна, изображенного на рис. Аутентификация пользователя, и подключив после этого электронный ключ, вы сможете изменить его PIN-код. Более подробные инструкции Вы найдете в секции Изменение PIN-кода.

Аутентификация пользователя

Работа с продуктом Dekart RSA Cryptographic Provider

37


4. Подключите электронный носитель Вашего закрытого ключа. Если электронный ключ защищен PIN-кодом, система усиленной аутентификации предложит его ввести.

Ввод PIN-кода 5. Введите PIN-код в поле Enter your PIN и щелкните OK. Получив доступ к ключу, система усиленной защиты произведет все необходимые операции.

Замечание. Будьте внимательны — при использовании электронного ключа после нескольких неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится временно недоступной. Для получения дополнительной информации по вопросам разблокирования ключа обращайтесь в службу технической поддержки Dekart, SRL. 6. Не забудьте отключить электронный ключ.

Использование продукта при чтении зашифрованных сообщений Чтобы открыть зашифрованное сообщение, выполните следующие действия. 1. Запустите приложение Outlook Express. Щелкните папку Входящие со списком сообщений, в котором все зашифрованные сообщения будут помечены значком шифрования. Выберите в списке и дважды щелкните нужное сообщение. Приложение обратится к Dekart RSA Cryptographic Provider, и Вам будет предложено предъявить Ваш идентификатор — смарт-карту/USB-ключ с закрытым ключом. 2. Подключите электронный ключ и при необходимости введите PIN-код. Если требуется сменить PIN-код, установите флажок в поле Change PIN. См. подробнее секцию Генерация электронной цифровой подписи. 3. Введите PIN-код, если это предусмотрено, и щелкните OK. Система расшифрует сообщение и откроет его. Теперь Вы можете его прочитать!!! 4. Не забудьте отключить электронный ключ. Как только Вы закроете сообщение, оно опять станет недоступным для посторонних. Чтобы прочитать его в будущем, Вам снова придется пройти процесс усиленной аутентификации.

Защита документооборота на базе Microsoft Office XP Продукт Dekart RSA Cryptographic Provider может быть использован для контроля авторства и целостности информации при организации общекорпоративного хранилища документов, доступ к которым имеют все сотрудники. Комплекс Microsoft Office XP дает возможность использовать цифровые сертификаты для подписи создаваемых документов. Продукт Dekart RSA Cryptographic Provider позволяет применять при этом двухфакторную аутентификацию автора для усиления защиты создаваемых документов от несанкционированной модификации. Сертификат, 38

Dekart RSA Cryptographic Provider. Operating Guide


указанный в ЭЦП документа свидетельствует о том, что этот документ не был изменен с тех пор, как его подписал и сохранил владелец этого сертификата. См. подробнее секцию Генерация и проверка ЭЦП документа Microsoft Office XP. Кроме того, приложения Microsoft Office XP позволяют отправлять создаваемые в них документы по электронной почте. При отправлении документ может быть зашифрован с помощью Dekart RSA Cryptographic Provider так, чтобы для его открытия требовалась двухфакторная аутентификация адресата. См. подробнее секцию Шифрование и расшифрование документа Microsoft Office XP.

Генерация и проверка ЭЦП документа Microsoft Office XP Для того чтобы подписать документ Microsoft Office XP, выполните следующие действия: 1. Запустите приложение Microsoft Office XP, например Microsoft Word XP. Щелкнув File > Open, откройте документ, который нужно подписать. Внесите необходимые изменения, если это требуется, и сохраните документ щелчком File > Save или File > Save As…. 2. Щелкните Tools > Properties. В появившемся окне выберите вкладку Security и щелкните Digital IDs. В окне Digital ID щелкните Add…. 3. В предложенном списке выберите сертификат, которым Вы хотите подписать документ, и щелкните OK. Если сертификат настроен на продукт Dekart RSA Cryptographic Provider так, что закрытый ключ хранится на электронном ключе (двухфакторная защита), система усиленной защиты в диалоговом окне аутентификации защищенного пользователя предложит Вам подключить электронный ключ.

Замечание. Установив флажок в поле Change PIN и подключив после этого электронный ключ, вы сможете изменить его PIN-код. Более подробные инструкции Вы найдете в секции Изменение PIN-кода. 4. Подключите электронный носитель Вашего закрытого ключа. Если электронный ключ защищен PIN-кодом, система усиленной аутентификации предложит его ввести. 5. Введите PIN-код в поле Enter your PIN и щелкните OK. Получив доступ к ключу, система усиленной защиты произведет все необходимые операции.

Замечание. Будьте внимательны — при использовании электронного ключа после нескольких неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится временно недоступной. Для получения дополнительной информации по вопросам разблокирования ключа обращайтесь в службу технической поддержки Dekart, SRL. 6. Не забудьте отключить электронный ключ. 7. Щелкните OK в окне Digital ID и в окне Properties. Теперь документ содержит цифровую подпись, включающую Ваш сертификат. 8. Закройте документ.

Замечание. Если Вы внесете какие-либо изменения в документ и сохраните его после подписания, ЭЦП будет автоматически стерта. Чтобы восстановить ЭЦП, подпишите документ еще раз. ЭЦП документа Microsoft Office XP можно проверить следующим образом:

Работа с продуктом Dekart RSA Cryptographic Provider

39


1. Запустите приложение Microsoft Office XP, например Microsoft Word XP. Щелкнув File > Open, откройте документ с ЭЦП. 2. Щелкните Tools > Properties. В появившемся окне выберите вкладку Security и щелкните Digital IDs. В окне Digital ID отображается список сертификатов, с помощью которых был подписан данный документ.

Замечание. Если в документе, который предположительно должен содержать ЭЦП, список сертификатов пуст, это означает, что документ был модифицирован после подписания. 3. Закройте диалоговые окна Digital ID и Properties. 4. Ознакомьтесь с документом или закройте его.

Шифрование и расшифрование документа Microsoft Office XP Для того, чтобы зашифровать документ Microsoft Office XP, выполните следующие действия: 1. Запустите приложение Microsoft Office XP, например Microsoft Word XP. Щелкнув File > Open, откройте документ с ЭЦП. 2. Щелкните File > Send > Mail recipient (as attachment). В результате запустится почтовое приложение, установленное в ОС по умолчанию, например Outlook Express, и откроется окно создания нового сообщения. В поле Attach этого окна отобразится ярлык отправляемого документа. 3. Укажите адрес получателя и тему. При необходимости введите текст сообщения. Зашифруйте сообщение с помощью сертификата получателя и отправьте его. Для получения дополнительной информации см. секцию Защита электронной почты. Зашифрованный документ может быть открыт в приложении Outlook Express. Для этого нужно расшифровать и открыть содержащее его сообщение и дважды щелкнуть ярлык документа. Если сертификат, с помощью которого было зашифровано сообщение, настроен на продукт Dekart RSA Cryptographic Provider и закрытый ключ хранится в памяти смарт-карты или USB-ключа, при расшифровке сообщения пользователь должен проходить двухфакторную аутентификацию. Для получения дополнительной информации см. секцию Защита электронной почты.

Замечание. Вы можете сохранить зашифрованный документ на диске, только расшифровав его. При этом защита документа будет снята.

Использование продукта для защиты доступа к WEB-сайту Продукт Dekart RSA Cryptographic Provider может быть использован для организации доступа по Интернет к защищенным WEB-сайтам: внутренним сайтам организации или любым другим сайтам, где требуется аутентификация пользователей. Защищенный WEB-сайт может содержать конфиденциальную информацию (внутренние приказы и распоряжения, адреса и телефоны сотрудников, состояние проектов и т.д.), предназначенную для ограниченного круга пользователей. Доступ к сайту обеспечивается на основании цифровых сертификатов, открытые ключи которых содержатся на WEBсервере. В процессе аутентификации пользователь должен предъявить закрытый ключ. Если закрытый ключ хранится в защищенной памяти смарт-карты или USB-ключа, и сам пользователь, и организаторы сайта могут быть уверены, что этим сертификатом для доступа к сайту не воспользуется посторонний.

40

Dekart RSA Cryptographic Provider. Operating Guide


Для того чтобы получить доступ к защищенному WEB-сайту посредством двухфакторной аутентификации, выполните следующие действия: 1. Запустите WEB-обозреватель, например Internet Explorer. В поле Address введите адрес защищенного WEB-сайта и нажмите Enter на клавиатуре. 2. В момент подключения к WEB-сайту будет выведено диалоговое окно, изображенное на рис. Аутентификация клиента WEB-сервера и содержащее список доступных сертификатов, которыми Вы можете воспользоваться при аутентификации на данном WEB-сервере. Выберите в нем нужный сертификат и щелкните OK.

Аутентификация клиента WEB-сервера 3. Если сертификат настроен на продукт Dekart RSA Cryptographic Provider так, что закрытый ключ хранится на электронном ключе (двухфакторная защита), система усиленной защиты в диалоговом окне аутентификации защищенного пользователя предложит Вам подключить электронный ключ.

Замечание. Установив флажок в поле Change PIN и подключив после этого электронный ключ, вы сможете изменить его PIN-код. Более подробные инструкции Вы найдете в секции Изменение PIN-кода. 4. Подключите электронный носитель Вашего закрытого ключа. Если электронный ключ защищен PIN-кодом, система усиленной аутентификации предложит его ввести. 5. Введите PIN-код в поле Enter your PIN и щелкните OK. Получив доступ к ключу, система усиленной защиты произведет все необходимые операции.

Замечание. Будьте внимательны — при использовании смарт-карт/eToken PRO после трех неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится временно недоступной; при использовании iKey после десяти неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится недоступной навсегда. Для получения дополнительной информации по вопросам разблокирования ключа обращайтесь в службу технической поддержки Dekart, SRL. 6. Если Ваш сертификат действителен для доступа к данному WEB-серверу, и Вы прошли процесс двухфакторной аутентификации с помощью USB-ключа или смарткарты, Вы получаете доступ к WEB-сайту через безопасное соединение (Secure Sockets Работа с продуктом Dekart RSA Cryptographic Provider

41


Layer — SSL). При этом в правом нижнем углу окна приложения Internet Explorer должен появиться символ замка. 7. Отключите электронный ключ.

Изменение PIN-кода Dekart RSA Cryptographic Provider устанавливает и поддерживает в электронном ключе специальный PIN-код, используемый только для доступа к закрытому ключу. Электронный ключ, защищенный PIN-кодом, является средством усиленной аутентификации, так как при наличии PIN-кода он не может быть использован никем, кроме своего владельца. Есть три причины, по которым PIN-код может быть изменен: •

По умолчанию PIN-код ключа является пустым и в целях защиты обязательно должен быть установлен.

PIN-код может меняться периодически корпоративных инструкций.

PIN-код может быть изменен, если он стал известен постороннему лицу, например, его подглядели.

в

зависимости

от

соответствующих

Dekart RSA Cryptographic Provider предоставляет возможность изменить PIN-код электронного ключа при его подключении к компьютеру в момент генерации ЭЦП, расшифрования или записи на электронный носитель нового закрытого ключа. PIN-код может быть изменен следующим образом: 1. При появлении диалогового окна, изображенного на рис. Опция смены PIN-кода, установите флажок в поле Change PIN, подключите электронный ключ и щелкните OK.

Опция смены PIN-кода 2. Если ключ уже защищен PIN-кодом, в поле Enter your PIN введите текущий PIN-код и щелкните OK.

Замечание. Будьте внимательны — при использовании электронного ключа после нескольких неудачных попыток ввода PIN-кода электронный ключ блокируется, и вся хранящаяся на нем информация становится временно недоступной. Для получения дополнительной информации по вопросам разблокирования ключа обращайтесь в службу технической поддержки Dekart, SRL.

42

Dekart RSA Cryptographic Provider. Operating Guide


Установка нового PIN-кода 3. Заполните поля в появившемся диалоговом окне, изображенном на рис. Установка нового PIN-кода. Для того чтобы установить новый PIN-код, необходимо активировать флаг Key Holder verification, в поле New PIN ввести новое значение PIN-кода, а в поле Confirm PIN — подтвердить его. Длина PIN-кода может быть от одного до восьми символов (с учетом регистра). Если флаг Key Holder verification не активировать, то в дальнейшем доступ к данным электронного ключа будет осуществляться без ввода PIN-кода. 4. Щелкните Accept. После этого все изменения будут записаны в память ключа.

Работа с продуктом Dekart RSA Cryptographic Provider

43


Обнаружение и устранение неисправностей Данная глава содержит: •

Список диагностических сообщений. Эти сообщения выдаются в случае неверных действий пользователя или сбоев в аппаратной или программной подсистеме Dekart RSA Cryptographic Provider.

Номера сообщений. Эти номера используется для идентификации при обращении в службу технической поддержки компании Dekart, SRL.

Список описаний причин выдачи сообщений. Эти описания приведены в столбце "Explanation" таблицы диагностических сообщений.

Список действий по сообщениям. Эти действия, которые необходимо предпринять в ответ на то или иное сообщение, приведены в столбце Action таблицы диагностических сообщений.

Если пользователь в процессе работы с продуктом Dekart RSA Cryptographic Provider получает некоторое диагностическое сообщение и не знает, какое действие предпринять в ответ на него, он может использовать таблицу диагностических сообщений следующим образом: •

В столбце Message, соответствующем источнику, находится строка с полученным администратором сообщением.

Ячейка Explanation найденной строки содержит описание причины выдачи данного сообщения.

Ячейка Action найденной строки содержит описание предлагаемых действий.

Ячейка ## содержит уникальный номер сообщения, необходимый только при обращении в службу технической поддержки.

Таблица диагностических сообщений приведена ниже.

Обнаружение и устранение неисправностей

45


Таблица диагностических сообщений. Сообщения Dekart Key Migration ##

Message

01-01

An error occured while exporting Cryptographic key. Please check if your Cryptographic key is exportable and not corrupted

Сертификат был инсталлирован неправильно или после его инсталляции закрытый ключ был поврежден.

Инсталлируйте сертификат заново, установив флажок в поле Mark the private key as exportable и повторите попытку.

01-02

An error occured while importing Cryptographic key.

Нарушена функциональность целевого поставщика сервиса криптографической защиты.

Повторите попытку. В случае неудачи переустановите целевой поставщик сервиса криптографической защиты. При повторном возникновении ошибки обратитесь в службу технической поддержки.

01-03

An error occured while changing Certificate properties.

Сертификат был поврежден или нарушена функциональность исходного или целевого поставщика сервиса криптографической защиты.

Повторите попытку. В случае неудачи переустановите сертификат и поставщики сервиса криптографической защиты или обратитесь к системному администратору.

01-04

An error occured while initializing TARGET Cryptoprovider.

Нарушена функциональность целевого поставщика сервиса криптографической защиты.

Переустановите целевой поставщик сервиса криптографической защиты. При повторном возникновении ошибки обратитесь в службу технической поддержки.

01-05

An error occured while initializing SOURCE Cryptoprovider.

Нарушена функциональность исходного поставщика сервиса криптографической защиты.

Переустановите исходный поставщик сервиса криптографической защиты. При повторном возникновении ошибки обратитесь в службу технической поддержки.

01-06

Could not find Cryptographic key.

Закрытый ключ сертификата отсутствует или был поврежден. Если закрытый ключ хранится на электронном ключе (смарткарте или USB-ключе), возможно, произошла ошибка при чтении информации с ключа.

Отключите и вновь подключите ключ. При необходимости подключите другой ключ. При необходимости переустановите сертификат. Повторите попытку. При повторном возникновении ошибки обратитесь в службу технической поддержки.

01-07

An error occurred while loading crypt32.dll.

Отсутствует библиотека crypt32.dll, или требуется ее более новая версия .

Обратитесь к системному администратору.

01-08

An error occurred while getting Certificate properties.

Сертификат был поврежден.

Повторите попытку. При необходимости переустановите сертификат.

46

Explanation

Dekart RSA Cryptographic Provider. Operating Guide

Action


01-09

An error occurred while migrating.

Произошла неизвестная ошибка.

Закройте и снова запустите приложение. Повторите действие, вызвавшее данную ошибку. При ее повторном возникновении обратитесь в службу технической поддержки.

Таблица диагностических сообщений. Сообщения Dekart RSA Cryptographic Provider ##

Message

Explanation

Action

02-01

The Key is blocked! To unblock the Key contact Dekart Technical Support.

Вы ввели неправильный PINкод максимальное количество раз и это привело к блокированию электронного ключа.

Подключите другой ключ или обратитесь в службу технической поддержки для получения утилиты деблокирования электронного ключа и дополнительной информацией.

02-02

The PIN you entered is incorrect! 2 attempts remaining.

Введен PIN-код, не соответствующий PIN-коду, хранящемуся в ключе. Возможно, к ПК подключен не тот ключ. Если вы введете неправильный PIN-код еще два раза, электронный ключ будет блокирован.

Попробуйте ввести PIN-код снова. Проверьте, тот ли ключ Вы подключили. При необходимости, подключите другой. Отключите и вновь подключите ключ. При повторном возникновении сообщения обратитесь в службу технической поддержки.

02-03

The PIN you entered is incorrect!

Введен PIN-код, не соответствующий PIN-коду, хранящемуся в ключе. Возможно, к ПК подключен не тот ключ.

Попробуйте ввести PIN-код снова. Проверьте, тот ли ключ Вы подключили. При необходимости, подключите другой. Отключите и вновь подключите ключ. При повторном возникновении сообщения обратитесь в службу технической поддержки.

02-04

An error occurred while changing the PIN! Do you wish to try again?

Длина введенного PIN-кода не поддерживается данным электронным ключом. Возможно, произошел аппаратный сбой устройства (USB-ключа, смарт-карты или считывателя).

Повторите попытку или введите более длинный PIN-код. Отключите и вновь подключите электронный ключ. При повторном возникновении сообщения обратитесь в службу технической поддержки.

Обнаружение и устранение неисправностей

47


48

Dekart RSA Cryptographic Provider. Operating Guide


Глоссарий Term

Description

Application Programming Interface (API)

Программный интерфейс, используемый для взаимодействия приложения и ОС.

Basic Input/Output System См. BIOS BIOS

Базовая система ввода-вывода — независимая от операционной системы программа поддержки операций с аппаратными средствами.

BIOS Setup Utility

Утилита изменения настроек BIOS.

COM-порт

Последовательный коммуникационный порт ПК.

Энергонезависимая, электронно-перепрограммируемая Electrically Erasable Programmable Read-Only постоянная память. Memory EEPROM eToken*

Это специальное устройство, называемое так же ключом eToken, изготовленное компанией Aladdin Knowledge Systems в виде брелка и используемое в продукте Dekart RSA Cryptographic Provider. Это полнофункциональный аналог смарт-карты, подключаемый к порту USB и используемый как средство идентификации пользователя.

eToken Run Time Environment

Среда выполнения eToken Run Time Environment является универсальным программным интерфейсом между приложениями, ориентированными на использование eToken, и устройством eToken. На ее основе можно создавать различные eToken-ориентированные продукты, не зная особенностей функционирования самого устройства. Ее разработчиком и поставщиком является компания Aladdin Knowledge Systems.

iKey*

Это специальное устройство, называемое так же ключом iKey, изготовленное компанией Rainbow Technologies в виде брелка и используемое в продукте Dekart RSA Cryptographic Provider. Это полнофункциональный аналог смарт-карты, подключаемый к порту USB и используемый как средство идентификации пользователя.

International Organization for Standardization (ISO)

Международная организация по стандартизации.

IRDA-порт

Порт стандарта на инфракрасную передачу данных и вывод на печать, разработанный ассоциацией передачи данных в инфракрасном диапазоне (Infrared Data Association).

ISO 7816

Перечень требований к физическим свойствам считывания и протоколам информационного обмена смарт-карт.

Глоссарий

49


Microsoft Windows Installer (MSI)

Утилита Microsoft Windows Installer (MSI) позволяет более эффективно инсталлировать и настраивать приложения. Например, при возникновении сбоев во время инсталляции утилита восстанавливает исходное состояние компьютера. Эта утилита входит в состав ОС Windows 2000, Windows Millennium и Windows ХР, а пользователи Windows 95/98 и NT 4.0 могут получить ее бесплатно в виде свободно распространяемого файла.

MSI

См. Microsoft Windows Installer

PCMCIA-порт

Порт, отвечающий спецификации PCMCIA (Personal Computer Memory Card International Association, Международная ассоциация производителей плат памяти для персональных компьютеров типа IBM PC)

Personal Computer/Smart Card (PC/SC)

Спецификация считывателей смарт-карт, поддерживаемая продуктом Dekart RSA Cryptographic Provider.

Personal Identification Number

См. PIN code

PIN-код

Personal Identification Number, используемый для подтверждения правомочности доступа к информации, хранящейся в памяти смарт-карты или USB-ключа. PIN-код устанавливается самостоятельно пользователем ключа с помощью использующего его продукта или с помощью специальной утилиты (например, среды RTE).

Plug-and-play

Стандарт фирм Microsoft, Intel и др., преследующий цель упрощения подключения к компьютеру дополнительных устройств. Операционная система (Windows 95, Windows 98, Windows 2000 Professional, Windows XP, Windows Me) берет на себя распознавание и настройку подключенного нового устройства без или с минимальным вмешательством пользователя.

PS/2-порт

Порт для подключения к ПК клавиатуры и мыши.

Public Key Infrastructure (PKI)

Инфраструктура Открытых Ключей — это комплекс, включающий архитектуру, организацию, технологии, приемы и методики, и позволяющий реализовать криптографические системы с открытым ключом на основе цифровых сертификатов. В таких системах используется пара криптографических ключей, связанных между собой некоторым математическим отношением. Открытый ключ свободно распространяется и применяется для шифрования данных и верификации цифровых подписей, а закрытый известен только своему владельцу, и применяется для расшифрования данных и генерации цифровой подписи.

Random Access Memory (RAM)

Динамическая оперативная память.

Read Only Memory (ROM)

Постоянная память, данные на которую записываются производителем электронных устройств.

50

Dekart RSA Cryptographic Provider. Operating Guide


RTE

См. eToken Run Time Environment

Universal Serial Bus

Универсальная последовательная шина, посредством которой можно подсоединять и отсоединять периферию, не вскрывая корпус ПК и даже не выключая питания. USB автоматически обнаруживает эти устройства и конфигурирует соответствующее ПО.

(USB)

USB

См. Universal Serial Bus

USB-ключ

Это специальное устройство, подключаемое к порту USB компьютера, являющееся безопасным контейнером и предназначенное для хранения криптографических ключей. Продукт Dekart RSA Cryptographic Provider поддерживает ключи eToken PRO, eToken R2 компании Aladdin eToken и iKey 2000, iKey 2032 компании Rainbow Technologies.

Аутентификация

Это контрольный процесс, в ходе которого выполняется проверка подлинности личности пользователя, т.е. осуществляется контроль того, что пользователь именно тот человек, за которого себя выдает.

Биометрическая аутентификация

Аутентификация пользователя, основанная на специфических особенностях его тела, контроль которых осуществляется с помощью специального биометрического оборудования. Биометрическая аутентификация может основываться на отпечатках пальцев, радужной оболочке, голосе и других характеристиках пользователя.

Двухфакторная аутентификация

Это контрольный процесс проверки подлинности личности пользователя, основанный на двух следующих факторах: Нечто, что Вы знаете, например, имя пользователя и пароль. Нечто, что Вы имеете, например, смарт-карта или устройство eToken.

Драйвер

Программа управления вводом-выводом, осуществляющая интерфейсные функции между приложениями/ОС и устройством, подключаемым к ПК.

Защищенный пользователь

Пользователь продукта Dekart RSA Cryptographic Provider, имеющий персональный электронный ключ и проходящий усиленную аутентификацию.

Идентификация

Это контрольный процесс, с помощью которого по уникальному идентификатору определяется, известен ли данный конкретный пользователь системе.

Издатель сертификата

См. Центр сертификации

Ключ eToken

См. eToken

Ключ iKey

См. iKey

Лицензия на использование продукта

Это регистрационный номер пользователя в базе данных компании Dekart, SRL., подтверждающий правомочность использования продукта.

Глоссарий

51


Однофакторная или стандартная аутентификация

Это контрольный процесс проверки подлинности личности пользователя, осуществляемый стандартными средствами ОС и основанный на одном проверочном факторе: Нечто, что Вы знаете — имя пользователя и пароль.

Закрытый ключ

Это криптографический ключ, который генерируется при создании запроса на получение цифрового сертификата и в силу своей секретности обеспечивает совместно с открытым ключом надежную криптографическую защиту информации на основе Инфраструктуры Открытых Ключей (Public Key Infrastructure).

Открытый ключ

Это криптографический ключ, который генерируется при создании запроса на получение цифрового сертификата, вносится в сертификат и свободно распространяется. Открытый ключ совместно с закрытым ключом позволяет реализовать криптографическую защиту информации на основе Инфраструктуры Открытых Ключей (Public Key Infrastructure).

Цифровой сертификат

Это цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Цифровой сертификат содержит открытый ключ (public key), электронную цифровую подпись издателя (issuer), сведения о владельце, срок действия и другую информацию.

Смарт-карта

Это пластиковая карта со встроенным микрочипом, включающим блок защищенной памяти и аппаратно реализующим криптоалгоритмы — механизмы шифрования/расшифрования секретной информации. Смарткарта подключается к компьютеру через специальное устройство — считыватель смарт-карт.

Считыватель смарткарт

Устройство, позволяющее работать со смарт-картами. Считыватель может быть внутренним (подключается как стандартный дисковод 3,5’) и внешним (подключается через порт COM, PS/2, USB, PCMCIA, IRDA или др.).

Усиленная аутентификация

Это контрольный процесс проверки подлинности личности пользователя, основанный, как минимум, на двух из трех следующих факторов: Нечто, что Вы знаете, например, имя пользователя и пароль. Нечто, что Вы имеете, например, смарт-карта или устройство eToken. Нечто, что Вас определяет, например, отпечатки пальцев или другие особенности Вашего тела.

Центр сертификации

52

Специальная организация, обладающая полномочиями для выдачи цифровых сертификатов, которая и выступает гарантом прав владельцев этих сертификатов в случае возникновения связанных с ними конфликтных ситуаций.

Dekart RSA Cryptographic Provider. Operating Guide


Электронная цифровая подпись (ЭЦП)

Это специальный зашифрованный набор цифровых данных, который может быть использован для однозначной идентификации отправителя электронного сообщения или подписи документа.

Электронный ключ

Смарт-карта или eToken.

Электронный носитель

См. Электронный ключ

Глоссарий

53


54

Dekart RSA Cryptographic Provider. Operating Guide

Dekart CSP Administrator Guide  

Full description of the program Dekart CSP