Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
300
При появлении окна с таким предупреждением:
1 Выберите одно из предложенных действий: o
Открыть настройки электронной подписи — для вызова окна Настройка параметров
безопасности на вкладке Электронная подпись (см. рисунок на стр. 245), с помощью которой можно просмотреть сведения о текущем сертификате, а также управлять сертификатами. o
Отправить запрос на обновление сертификата — для формирования запроса на обновление текущего сертификата с помощью мастера обновления сертификатов
(см.
Процедура обновления ключа электронной подписи и сертификата на стр. 245).
Отправлять запрос на обновление сертификата следует в том случае, если политика безопасности вашей организации запрещает использовать ключ электронной подписи, сформированный не вами лично, а на сетевом узле администратора. В результате обновления вам будет доставлен сертификат, который будет соответствовать ключу электронной подписи, сформированному на вашем компьютере.
2 Нажмите кнопку OK.
Истекает срок действия текущего сертификата аутентификации
Если пользователь выбрал способ аутентификации в ПО ViPNet Client при помощи сертификата на устройстве, за 45 дней до истечения срока действия этого сертификата появится соответствующее предупреждение сервиса безопасности. Вид предупреждения зависит от того, хранятся ли на внешнем устройстве другие сертификаты, подходящие для аутентификации.
Рисунок 148. Предупреждения о скором истечении срока действия сертификата, используемого
при аутентификации
Выполните следующие действия:

ViPNet Client 4. Руководство пользователя |
301
 Если на внешнем устройстве найдены другие сертификаты, подходящие для аутентификации, и соответствующие им списки аннулированных сертификатов установлены в хранилище и являются действительными, выберите одно из предложенных действий: o
Выбрать другой сертификат в качестве текущего — для назначения другого сертификата для аутентификации с помощью окна Выбор сертификата. o
Напомнить снова через — для повторного вызова окна предупреждения по истечении указанного временного промежутка (10 минут, 1 час, 6 часов, 1 день, 1 неделя). o
Напомнить при следующей аутентификации — для повторного вызова окна предупреждения при следующем запуске ПО ViPNet Client.
 Если на внешнем устройстве нет других подходящих для аутентификации сертификатов, выберите одно из двух действий, чтобы настроить напоминание, и затем получите новый сертификат для аутентификации (см.
Особенности аутентификации с помощью сертификата на стр. 75).
Если на внешнем устройстве есть другие подходящие для аутентификации сертификаты, но соответствующие им CRL просрочены либо не установлены, выберите одно из двух действий, чтобы настроить напоминание, и затем обратитесь к администратору вашей сети ViPNet для получения соответствующего списка аннулированных сертификатов. После обновления CRL или установки его в хранилище при следующей проверке появится окно предупреждения о скором истечении срока действия сертификата, в котором вы сможете выбрать действие Выбрать другой
сертификат в качестве текущего.
Внимание! Если вы используете программу ViPNet Деловая почта, необходимо заменить сертификат, используемый для аутентификации, до истечения его срока действия, чтобы не выполнять повторную установку ключей. В противном случае после повторной установки ключей будет потерян доступ к зашифрованным письмам программы ViPNet Деловая почта (в том числе в архивах).

ViPNet Client 4. Руководство пользователя |
302
Текущий сертификат аутентификации недействителен
Если срок действия сертификата, используемого при аутентификации, истек, появится соответствующее предупреждение сервиса безопасности.
Рисунок 149: Предупреждения об истечении срока действия сертификата, используемого при
аутентификации
При появлении окна с таким предупреждением:
1 Выберите одно из предложенных действий, чтобы настроить напоминание.
2 Получите новый сертификат для аутентификации (см.
Особенности аутентификации с помощью сертификата на стр. 75).
Кроме того, предупреждение о недействительном сертификате аутентификации появляется в случае, когда сертификат издателя не установлен в системное хранилище Доверенные корневые
сертификаты.

ViPNet Client 4. Руководство пользователя |
303
Рисунок 150. Предупреждение о недействительном сертификате, используемом при
аутентификации
При появлении окна с таким предупреждением:

ViPNet Client 4. Руководство пользователя |
304
2 Подключите внешнее устройство с сертификатом, который используется для аутентификации.

ViPNet Client 4. Руководство пользователя |
305
Предупреждения об угрозах
Предупреждения об угрозах предназначены для своевременного информирования пользователя о снижении уровня безопасности сетевого узла.
Нарушена целостность файла
Для обеспечения безопасности сетевого узла каждый раз при запуске программы ViPNet Client выполняется проверка целостности всех модулей и компонентов ПО. При обнаружении неполадок, появится сообщение о нарушении целостности файла. Программа ViPNet Client будет переведена в аварийный режим работы, при котором:
 заблокирован доступ к ресурсам защищенной сети;
 разрешен доступ к открытой сети в соответствии с настроенными сетевыми фильтрами.
Восстановление работы ПО ViPNet Client выполняется в ручном режиме. Для этого воспользуйтесь одним из способов:
 выполните восстановление программы (см.
Добавление, удаление и восстановление компонентов на стр. 47);
 обратитесь к администратору сети ViPNet за обновлением программы (см.
Обновление, отправленное из ViPNet Центр управления сетью на стр. 43);
 проведите обновление самостоятельно (см.
Обновление с помощью установочного файла на стр. 44).
Обнаружена попытка нарушения сетевых фильтров
Для безопасной работы в сети необходимы корректно настроенные правила фильтрации трафика.
Если по какой-то причине сетевые фильтры будут искажены, появится соответствующее сообщение. При этом фильтры заменяются на предустановленные. Чтобы при нарушении целостности фильтров автоматически блокировать трафик, выполните необходимые настройки в режиме администратора (см.
Параметры защиты трафика на стр. 218).

ViPNet Client 4. Руководство пользователя |
306
B
Общие сведения о сертификатах и ключах

ViPNet Client 4. Руководство пользователя |
307
Основы криптографии
Криптография используется для решения трех основных задач:
 обеспечение конфиденциальности данных;
 контроль целостности данных;
 обеспечение подлинности авторства данных.
Первая задача решается с помощью симметричных алгоритмов шифрования. Для решения второй и третьей задач требуется использование асимметричных алгоритмов и электронной подписи.
В данном разделе содержится упрощенное описание алгоритмов с симметричным ключом, с асимметричным ключом, электронной подписи, а также приводятся примеры использования этих алгоритмов в информационных системах (приведенные примеры не относятся к технологии
ViPNet).
Симметричное шифрование
В симметричных алгоритмах для зашифрования и расшифрования применяется один и тот же криптографический ключ. Для того чтобы и отправитель, и получатель могли прочитать исходный текст (или другие данные, не обязательно текстовые), обе стороны должны знать ключ алгоритма.
На схеме ниже изображен процесс симметричного зашифрования и расшифрования.
Рисунок 152. Зашифрование и расшифрование на симметричном ключе
Симметричные алгоритмы шифрования способны обрабатывать большое количество данных за короткое время благодаря использованию для зашифрования и расшифрования одного и того же

ViPNet Client 4. Руководство пользователя |
308 ключа, а также благодаря простоте симметричных алгоритмов по сравнению с асимметричными.
Поэтому симметричные алгоритмы часто используют для шифрования больших массивов данных.
Для шифрования данных с помощью симметричного алгоритма криптографическая система использует симметричный ключ. Длина ключа (обычно выражаемая в битах) зависит от алгоритма шифрования и программы, которая использует этот алгоритм.
С помощью симметричного ключа исходный (открытый) текст преобразуется в шифрованный
(закрытый) текст. Затем шифрованный текст отправляется получателю. Если получателю известен симметричный ключ, на котором зашифрован текст, получатель может преобразовать шифрованный текст в исходный вид.
Примечание. На практике симметричный ключ нужно передать получателю каким-либо надежным способом. Обычно создается симметричный ключ парной связи, который передается получателю лично. Затем для шифрования используются случайные (сессионные) симметричные ключи, которые зашифровываются на ключе парной связи и в таком виде передаются по различным каналам вместе с шифрованным текстом.
Наибольшую угрозу безопасности информации при симметричном шифровании представляет перехват симметричного ключа парной связи. Если он будет перехвачен, злоумышленники смогут расшифровать все данные, зашифрованные на этом ключе.
Асимметричное шифрование
Асимметричные алгоритмы шифрования используют два математически связанных ключа: открытый ключ и закрытый ключ. Для зашифрования применяется открытый ключ, для расшифрования — закрытый ключ.
Открытый ключ распространяется свободно. Закрытым ключом владеет только пользователь, который создает пару асимметричных ключей. Закрытый ключ следует хранить в секрете, чтобы исключить возможность его перехвата.
Использование двух различных ключей для зашифрования и расшифрования, а также более сложный алгоритм делают процесс шифрования с помощью асимметричных ключей гораздо более медленным, чем шифрование с помощью симметричных ключей.
Открытый ключ может быть использован любыми лицами для отправки зашифрованных данных владельцу закрытого ключа. При этом парой ключей владеет только получатель зашифрованных данных. Таким образом, только получатель может расшифровать эти данные с помощью имеющегося у него закрытого ключа.

ViPNet Client 4. Руководство пользователя |
309
Рисунок 153. Зашифрование и расшифрование на асимметричном ключе
Примечание. На практике асимметричные алгоритмы в чистом виде используются очень редко. Обычно данные зашифровываются с помощью симметричного алгоритма, а затем с помощью асимметричного алгоритма зашифровывается только симметричный ключ. Комбинированные (гибридные) криптографические алгоритмы рассматриваются ниже (см.
Сочетание симметричного и асимметричного шифрования на стр. 309).
Сочетание симметричного и асимметричного шифрования
В большинстве приложений симметричные и асимметричные алгоритмы применяются совместно, что позволяет использовать преимущества обоих алгоритмов.
В случае совместного использования симметричного и асимметричного алгоритмов:
 Исходный текст преобразуется в шифрованный с помощью симметричного алгоритма шифрования. Преимущество этого алгоритма заключается в высокой скорости шифрования.
 Для передачи получателю симметричный ключ, на котором был зашифрован текст, зашифровывается с помощью асимметричного алгоритма. Преимущество асимметричного алгоритма заключается в том, что только владелец закрытого ключа сможет расшифровать симметричный ключ.
На следующем рисунке изображен процесс шифрования с помощью комбинированного алгоритма.

ViPNet Client 4. Руководство пользователя |
310
Рисунок 154. Шифрование с помощью комбинированного алгоритма
1 Отправитель запрашивает открытый ключ получателя из доверенного хранилища.
2 Отправитель создает симметричный ключ и зашифровывает с его помощью исходный текст.
3 Симметричный ключ зашифровывается на открытом ключе получателя, чтобы предотвратить перехват ключа во время передачи.
4 Зашифрованный симметричный ключ и шифрованный текст передаются получателю.
5 С помощью своего закрытого ключа получатель расшифровывает симметричный ключ.
6 С помощью симметричного ключа получатель расшифровывает шифрованный текст, в результате он получает исходный текст.
Сочетание хэш-функции и асимметричного алгоритма электронной подписи
Электронная подпись защищает данные следующим образом:
 Для подписания данных используется хэш-функция, с помощью которой определяется хэш-сумма исходных данных. По хэш-сумме можно определить, имеют ли место какие-либо изменения в этих данных.

ViPNet Client 4. Руководство пользователя |
311
 Полученная хэш-сумма подписывается электронной подписью, позволяя подтвердить личность подписавшего. Кроме того, электронная подпись не позволяет подписавшему лицу отказаться от авторства, так как только оно владеет ключом электронной подписи, использованным для подписания. Невозможность отказаться от авторства называется неотрекаемостью.
Большинство приложений, осуществляющих электронную подпись, используют сочетание хэш-функции и асимметричного алгоритма подписи. Хэш-функция позволяет проверить целостность исходного сообщения, а электронная подпись защищает полученную хэш-функцию от изменения и позволяет определить личность автора сообщения.
Приведенная ниже схема иллюстрирует применение хэш-функции и асимметричного алгоритма в электронной подписи.
Рисунок 155. Применение хэш-функции и асимметричного криптографического алгоритма в
электронной подписи
1 Отправитель создает файл с исходным сообщением.
2 Программное обеспечение отправителя вычисляет хэш-сумму исходного сообщения.
3 Полученная хэш-сумма зашифровывается с помощью ключа электронной подписи отправителя.
4 Исходное сообщение и зашифрованная хэш-функция передаются получателю.
Примечание. При использовании электронной подписи исходное сообщение не зашифровывается. Само сообщение может быть изменено, но любые изменения сделают хэш-сумму, передаваемую вместе с сообщением, недействительной.
5 Получатель расшифровывает хэш-сумму сообщения с помощью ключа проверки электронной подписи отправителя. Ключ проверки электронной подписи может быть передан вместе с сообщением или получен из доверенного хранилища.