Furnizorul de revocare CryptoPro
În procesul de gestionare a cheilor, CA are capacitatea de a revoca certificatele emise, ceea ce este necesar pentru încetarea anticipată a valabilității lor, de exemplu, în cazul compromisului-cheie. EDS prevede o procedură de verificare, în plus față de care să confirme corectitudinea matematică este, de asemenea, construirea și verificarea lanțului de certificate până la un CA de încredere, precum și verificarea stării certificatelor în lanțul.
Prin urmare, verificați starea certificatelor este important pentru aplicațiile care utilizează PKI ca, de exemplu, adoptarea de manipulare a semnat semnătura electronică a documentului, o cheie de semnare a certificatului este revocat, poate fi ulterior contestată și să conducă la pierderi financiare.
În sistemul de operare Microsoft Windows, tehnologia IKC este construită. Multe aplicații care rulează aceste sisteme de operare utilizează interfața CryptoAPI pentru a efectua protecția criptografică a informațiilor. CryptoAPI utilizează, de exemplu, următoarele aplicații: Internet Explorer, Outlook Express, Outlook, Internet Information Server etc.
În mod implicit, CryptoAPI verifică starea certificatelor utilizând CRL-uri. SOS este o listă a certificatelor anulate sau suspendate, emise periodic - de exemplu, o dată pe săptămână. SOS nu reflectă informațiile de stare în timp real și are și o serie de alte deficiențe care lipsesc de OCSP - protocolul pentru obținerea statutului unui certificat în timp real.
Arhitectura CryptoAPI oferă posibilitatea de a conecta un certificat de verificare a certificatelor externe - Furnizor de revocări.
Furnizorul de revocări CryptoPro este proiectat să încorporeze verificarea statusurilor certificatelor de chei publice în timp real prin intermediul protocolului OCSP în Windows.
Furnizorul de revocări CryptoPro este proiectat să încorporeze verificarea statusurilor certificatelor de chei publice în timp real prin intermediul protocolului OCSP în Windows.
Furnizorul de revocare CryptoPro. atunci când sunt instalate în sistem este construit în CryptoAPI și oferă, astfel, o verificare a stării certificatelor în toate aplicațiile de pe protocolul OCSP, cu schimbare nimic în aplicațiile în sine nu sunt necesare. Furnizorul de revocare este invocată în mod automat de fiecare dată când aplicația funcționează cu un certificat. verificare certificat în timp real de protocol OSCP oferă o mai mare securitate în comparație cu COC.
Diagrama încorporării furnizorului de revocare în OS este prezentată în figură.
Pentru a vă asigura că OCSP este folosit pentru a verifica starea certificatelor utilizate într-un sistem informatic specific, este necesar ca serverul OCSP să ruleze pe sistem.
Ca server OCSP pentru Furnizorul de Revocare CryptoPro, puteți utiliza serverul OCSP CryptoPro.
Furnizorul de servicii de revocare CryptoPro operează în următoarele sisteme de operare:
Furnizor de revocare CryptoPro:
- Acesta integrează verificarea stării certificatelor prin intermediul protocolului OCSP în toate aplicațiile din sistemul de operare.
- Nu necesită modificarea aplicațiilor pentru a-și folosi capabilitățile.
- Reduce riscul de a deveni victimă a fraudei sau responsabilității.
- Compatibil cu aplicațiile server.
- Verifică automat starea certificatelor serverului OCSP.
- Sprijină extensia id-pkix-ocsp-nocheck. Dacă o astfel de extensie este prezentă în certificatul serverului OCSP, atunci starea acestui certificat nu este verificată.
- Verifică automat dacă serverul OCSP este autorizat de Autoritatea de certificare care emite certificatul verificat să emită informații despre starea acestui certificat.
- Configurabil prin politica de grup.
- Vă permite să configurați credibilitatea anumitor servere OCSP.
- Dacă nu este posibilă verificarea certificatului utilizând protocolul, OCSP îl transmite către furnizorul de revocare Microsoft, care efectuează validarea CAS.
- Acesta poate efectua conexiuni printr-un protocol securizat TLS (SSL).
- Instalat utilizând Windows Installer.
Cum este numit Furnizorul de Revocare
Odată instalat în sistem, Furnizorul de Revocare este chemat să verifice certificatele de fiecare dată când se apelează funcția CryptoAPI CertVerifyRevocation. De fapt, toți parametrii acestei funcții sunt transmiși neschimbați în furnizorul de revocări. În plus față de un apel direct, această funcție și, prin urmare, Furnizorul de Revocare este denumită implicit în cadrul funcțiilor CertGetCertificateChain și WinVerifyTrust.
Cum functioneaza Furnizorul de Revocare
Atunci când o aplicație care funcționează cu CryptoAPI apelează funcția de verificare a statusului certificatului, acest certificat este transmis Furnizorului de revocare împreună cu un număr de parametri suplimentari.
Ordinea de acces la serviciile OCSP este definită după cum urmează:
Dacă în etapele anterioare nu puteți obține răspunsul care satisface condițiile descrise mai sus, certificatul este trimis pentru verificare la furnizorul de revocare Microsoft inclus în Windows. Furnizorul de revocare Microsoft verifică acest certificat utilizând CAS. Statutul primit al certificatului este returnat aplicației.
Furnizorul de servicii de revocare CryptoPro utilizează instrumentul de protecție criptografică CryptoPro CSP 3.0 certificat de Serviciul Federal de Securitate al Rusiei.