Inter-PRO Client 6.0: Руководство пользователя |
Программный комплекс «Inter-PRO» предназначен для защиты Интернет-приложений, использующих протокол HTTP. Технология, реализуемая в программном продукте «Inter-PRO», не накладывает никаких серьезных ограничений на тип применяемых Web-серверов и Web-браузеров. «Inter-PRO» обеспечивает «прозрачность» защиты по отношению к взаимодействующим приложениям и единственным требованием, предъявляемым к программному обеспечению на стороне клиента, является наличие возможности настройки Web-браузера на работу с HTTP Proxy-сервером.
Комплекс «Inter-PRO» включает два программных модуля:
«Inter-PRO Server» – устанавливается на стороне Web-сервера; обеспечивает защиту одного или нескольких Web-серверов;
«Inter-PRO Client 6.0» – устанавливается на стороне Web-браузера; обеспечивает взаимодействие с защищенным Web-сервером.
Ресурсами программы «Inter-PRO Client 6.0» являются все Web-серверы, с которыми Web-браузер клиента устанавливает соединение через представительство программы «Inter-PRO Server».
Открытыми ресурсами называются Web-серверы, доступ к которым осуществляется в открытом режиме по протоколу HTTP.
Защищенным ресурсом называется Web-сервер, защищаемый сервером «Inter-PRO», взаимодействие с которым осуществляется в защищенном режиме по протоколу TLS.
Упрощенная схема традиционной работы пользователя с Web-сервером выглядит следующим образом:
Схема работы пользователя в системе «Inter-PRO» выглядит следующим образом:
Модуль «Inter-PRO Server» и защищаемый Web-сервер могут располагаться как на одной и той же машине (что предпочтительнее с точки зрения безопасности), так и на разных машинах (что снимает ограничения на платформенную совместимость). Один «Inter-PRO Server» может защищать несколько Web-серверов.
Если сервер «Inter-PRO» работает в режиме обязательной аутентификации своих пользователей (наиболее часто используемый режим), то все его пользователи обязаны иметь индивидуальный секретный ключ и соответствующий ему сертификат.
Генерация ключей и запроса сертификата осуществляется с помощью программы «Admin-PKI».
Секретный ключ сохраняется в тайне и должен быть известен только самому владельцу. В «Inter-PRO Client 6.0» предусмотрена возможность защиты секретного ключа от несанкционированного доступа с помощью пароля. В этом случае, при обращении программы к файлу секретного ключа у пользователя запрашивается пароль.
В системе «Inter-PRO» допускается раздельное хранение секретного (парного) и главного ключа СКЗИ. Главный ключ может храниться только на ключевом носителе (дискета, flash-диск, TouchMemory, eToken или ruToken), который должен быть защищен от несанкционированного доступа.
Программа «Inter-PRO Client 6.0» позволяет использовать функциональные ключевые носители с встроенной сертифицированной реализацией и неизвлекаемыми закрытыми ключами алгоритма ГОСТ Р 34.10-2012 (устройства Rutoken ЭЦП 2.0, eToken ГОСТ/JaCarta и др.).
Запрос сертификата передается в Удостоверяющий центр, который изготавливает на его основе сертификат пользователя в формате X.509.
Запрос сертификата представляет собой набор данных, заверенных цифровой подписью пользователя (открытый ключ, имя владельца открытого ключа, информация о криптографических алгоритмах и др.).
Запрос сертификата может быть самоподписанным (т.е. подписанным секретным ключом, парным открытому ключу в составе запроса) или несамоподписанным (т.е. подписанным другим секретным ключом, на который ранее уже был получен сертификат у данного Удостоверяющего центра).
Самоподписанный запрос сертификата может быть передан в Удостоверяющий центр только при личной встрече или по защищенным от несанкционированного доступа каналам связи.
Запрос сертификата, подписанный другим секретным ключом, может передаваться по открытым каналам связи. Главное при этом, чтобы в момент поступления запроса в Удостоверяющий центр не истек период действия сертификата для ключа, которым был подписан запрос (в противном случае, Удостоверяющий центр не сможет проверить подлинность поступившего запроса).
Для работы с защищенным ресурсом (модулем «Inter-PRO Server») пользователю необходимо иметь сертификат Удостоверяющего центра, который используется для проверки сертификата сервера.
В криптосистемах на базе «Inter-PRO» допустимо существование нескольких Удостоверяющих центров. При этом каждый пользователь может иметь:
В программе «Inter-PRO Client 6.0» реализована опциональная возможность генерации электронных цифровых подписей для HTML-форм (электронных форм заполнения), которые автоматически проверяются программой «Inter-PRO Server» на стороне Web-сервера.