Атликс HSM - Использование

Данная страница перенесена в архив.
Актуальную информацию можно узнать в разделе по ссылке.

Установка и использование ПАКМ "Атликс HSM"

Установка и эксплуатация СКЗИ ПАКМ "АТЛИКС HSM" осуществляется в соответствии с документом "ЖТЯИ.00020-01 90 02. Правила пользования ПАКМ "АТЛИКС HSM".

К эксплуатации ПАКМ "АТЛИКС HSM" допускаются лица, прошедшие соответствующую подготовку и изучившие эксплуатационную документацию на соответствующие программно-аппаратные средства.

Схема подключения ПАКМ к серверу

Схема подключения ПАКМ к серверу

Аппаратная часть ПАКМ "АТЛИКС HSM" включает следующие специализированные устройства:

  • встроенный считыватель смарт-карт для ввода/вывода информации на интеллектуальную карту;
  • электронный замок с физическим ДСЧ ("Соболь-PCI");
  • сетевая плата Ethernet с оптическим выходом для подключения к каналу К (взаимодействие с сервером ЦС);
  • панель с жидкокристаллическим экраном и кнопками управления для администрирования ПАКМ.

Все аппаратные средства ПАКМ "АТЛИКС HSM" размещены в одном корпусе. Корпус ПАКМ "АТЛИКС HSM" должен быть защищен от несанкционированного вскрытия (путем опечатывания системного блока и разъемов системного блока и контроля печатей администратором безопасности).

Сервер должен быть оснащен устройствами:

  • встроенный считыватель смарт-карт для ввода/вывода информации на интеллектуальную карту;
  • электронный замок с физическим ДСЧ;
  • сетевая плата Ethernet для подключения к каналу К (взаимодействие с ПЭВМ ПАКМ "АТЛИКС HSM");
  • сетевая плата для подключения к ЛВС предприятия.

Все аппаратные средства Сервера должны быть размещены в одном корпусе. Корпус Сервера должен быть защищен от несанкционированного вскрытия (путем опечатывания системного блока и разъемов и контроля печатей администратором безопасности).

Для обеспечения функционирования Сервера необходимо установить на предназначенном для него компьютере операционную систему и программные компоненты, предоставляющие Серверу интерфейс к криптографическим функциям ПАКМ. Перед установкой следует проверить программное обеспечение на отсутствие вирусов и программных закладок. Также необходимо исключить из программного обеспечения средства разработки и отладки программ.

 

Установка интерфейсных модулей сервер с ОС семейства Windows (2000, XP, 2003)

В состав дистрибутива ПАКМ входит интерфейсный модуль «Клиент HSM» для ОС семейства Windows, при помощи которого можно использовать ПАКМ "Атликс HSM" в качестве СКЗИ как обычный криптопровайдер в ОС Windows.

Для установки ПО «Клиент HSM» с дистрибутивного носителя необходимо запустить программу установки hsmrus.msi, и следовать инструкциям, которые предлагает Мастер установки.

Установка Атликс HSM - шаг 1

Когда Мастер установки запросит ввод номера лицензии, необходимо ввести номер, предварительно проверив корректность ввода имени пользователя и организации. Поля для ввода номера лицензии можно оставить незаполненными, в этом случае программное обеспечение будет работать в течении одного месяца.
После успешного завершения работы Мастера установки перезагружаем операционную систему. После перезагрузки в окне “Панели управления” появится новый значок:

Атликс HSM - icon

Криптопровайдером по умолчанию в операционной системе становится криптопровайдер “Phoenix-CS GOST R 34.10-2001 Cryptographic Service Provider”.

Значок служит для вызова окна управления настройками этого криптопровайдера под названием ”Свойства: Client HSM”:

Установка Атликс HSM - Панель свойств

Окно имеет пять закладок "Общие", "Сервис", "Дополнительно", "Алгоритмы" и "Параметры HSM". 
Закладка "Общие" используется для управления лицензиями и регистрации ПО “Клиент HSM”.
Закладка “Сервис” предназначена для выполнения следующих операций:

  • Удаление закрытого ключа, находящегося в существующем контейнере вместе с контейнером;
  • Просмотр и установка сертификатов, находящихся в существующем контейнере закрытого ключа на носителе (если сертификаты в контейнере существуют);
  • Осуществление связки между существующим сертификатом из файла и существующим контейнером закрытого ключа на носителе;
    Изменение PIN-кодов доступа к носителям закрытых ключей.

Закладка “Дополнительно” предназначена для:

  • просмотра версий и путей размещения, используемых ПО “Клиентом HSM” файлов;
  • установки времени ожидания ввода информации от пользователя.

Закладка “Алгоритмы” контрольной панели “Клиент HSM” предназначена для установки различных параметров реализованных криптографических алгоритмов.

На закладке "Параметры HSM" осуществляется настройка параметров соединения сервера приложений и ПАКМ, а также отражается статистика работы ПАКМ.

Установка Атликс HSM - Панель свойств - параметры

В окошке "Считыватель смарт-карт" выбирается название считывателя, в который будет устанавливаться карточка канала "К" (к ПАКМ прилагается две карточки канала «К»). В окошко "Адрес HSM-сервера" вводится IP-адрес ПАКМ. Какой именно IP-адрес имеет в данный момент ПАКМ можно узнать через систему меню LCD-панели ПАКМ. Если данные настройки указаны правильно и карточка канала "К" вставлена в считыватель, то в группе окошек “Статистика” появятся значения соответствующих параметров. При нажатии на кнопку “Обновить”, как минимум, должно изменяться содержание окна “Время на сервере”. Если это происходит, то можно утверждать, что связь с ПАКМ функционирует нормально.

После завершения процесса установки ПО Сервера и ПАКМ "АТЛИКС HSM" следует провести контроль целостности установленного ПО.

 

ПРИМЕР РАБОТЫ ПАКМ В СОСТАВЕ ПАК "КРИПТОПРО УЦ" 

Для повышения уровня защиты программно-аппаратного комплекса "КриптоПро УЦ" целесообразно использовать ПАКМ "Атликс HSM" на сервере Центра сертификации.
Генерация ключа подписи сертификатов на ЦС происходит в процессе инсталляции Службы сертификации ОС Windows 2000 Server. Ключ уполномоченного лица может быть разделен по схеме "1 из 2 и 3 из 5" с записью защитных ключей на смарт-карты (для этого понадобиться 7 форматированных карточек РИК Оскар 1.1).

Установка Службы сертификации ОС Windows 2000(2003) Server осуществляется стандартным образом.В окне выбора "Типа центра сертификации" обязательно нужно отметить "галочкой" пункт "Дополнительные возможности", чтобы иметь возможность указать используемый криптопровайдер - "Phoenix-CS GOST R 34.10-2001 Cryptographic Service Provider".

После заполнения учетных данных сертификата уполномоченного лица выбранный криптопровайдер выдаст на экран окно с предложением выбора типа ключевого носителя.

Атликс HSM - Выбор типа ключевого носителя

ПАКМ предлагает только два типа ключевых носителей: смарт-карта в считывателе "GemPC433 SL 00 00" и структура дискеты на внутреннем жестком диске ПАКМ под названием HDIMAGE.
В этом окне тип носителя "GemPC433 SL 00 00" выбирается тогда, когда нам нужно создать только "простой" (не разделенный, без дополнительной защиты) ключ на карточке, защищенный только ПИН-кодом.

Для создания разделенного ключа необходимо выбрать HDIMAGE.

ПАКМ создаст контейнер на носителе и предложит установить для него пин-код. В качестве пин-кода в данном случае будут служить два других ключа защиты (две части), которые тоже будут созданы на носителе  HDIMAGE. Поэтому в предлагаемом окне мы выберем  нижний пункт - разделяемый ключ. При выборе разделяемого ключа необходимо указать какое разбиение на этом уровне будет использоваться. Отметим здесь, что разбиение ключа может носить многоуровневый иерархический характер и структура разбиения определяется отдельно для каждого уровня. Для нашей структуры разбиения ключа на первом уровне разбиения задаем параметры "Количество носителей для загрузки" - 2, "Общее число носителей" - 2. Нажимаем ОК. Появляется следующее окно для выбора ключевого носителя для первой части ключа.

Поскольку у нас разбиение многоуровневое, снова выбираем HDIMAGE. Далее снова появляется окно задающее структуру разбиения, но уже для первой части ключа. Это разбиение второго уровня.

Атликс HSM - Разделение ключа

Задаем параметры разбиения для первой части ключа как "1 из 2" и нажимаем ОК.

Поскольку дальнейшую иерархию разбиения ключа проводить не будем, защитные ключи этого уровня будем создавать на смарт-картах. Поэтому в следующем окне в качестве устройства для ключевого носителя выбираем "GemPC433 SL 00 00".

Атликс HSM - выбор ключевого носителя

В этот момент нужно вставить в считыватель ПАКМ чистую карточку с обозначениями "1.1" и нажать ОК. После этого на LCD-панели ПАКМ появится приглашение ввести новый ПИН-код для этой карточки.

После ввода ПИН-кода на зкране появится приглашение вставить чистую карточку "1.2"

Вставим карточку и нажмем ОК. На LCD-панели ПАКМ снова появится запрос для ввода нового ПИН-кода уже для карточки 1.2.

После ввода ПИН-кода на экране появляется окно, предлагающее выбрать тип устройства для ключевого носителя уже для второй части ключа. Поскольку вторую часть ключа будем также разделять, необходимо выбрать HDIMAGE. Параметры разбиения второй части ключа будут "3 из 5". Введем эти параметры в следующем окне.

Атликс HSM - разделение ключа

После нажатия кнопки ОК. На экран будут последовательно выдаваться запросы вставить в ПАКМ чистые карточки для ключей "2.1", "2.2", "2.3", "2.4" и "2.5". А на LCD-панель ПАКМ запросы на ввод новых ПИН-кодов для этих карточек.

После того как ПИН-код для последней карточки введен, необходимо последовательно вставить в считыватель ПАКМ все карточки, начиная с "1.1" и заканчивая "2.5" (второй круг). Соответствующие запросы с предложением вставить ту или иную карточку (для правильного определения момента) будут выводиться на экран.

После завершения этой процедуры ключ Центра Сертификации будет сформирован и Мастер установки службы сертификации продолжит свою работу. Необходимо продолжить следовать его инструкциям.

На заключительном этапе работы Мастера установки службы сертификации потребуется активизация ключа Центра Сертификации. Для этого необходимо вставить в определенном порядке в считыватель ПАКМ карточки с защитными ключами и ввести соответствующие ПИН-коды карточек, при этом, запрос на необходимую карточку будет появляться на LCD-панели ПАКМ в следующем виде: "Insert 1 of 2, Yes or Esc?". Выбор нужно сделать кнопками со стрелками "влево" и "вправо" с последующим нажатием кнопки "Enter". Если мы будем использовать для активации первой части ключа карточку "1.1", то кнопками на LCD-панели необходимо выбрать "Yes". Если выбрать "Esc", то карточка "1.1" будет пропущена и на LCD-панели появится сообщение "Insert 2 of 2, Yes or Esc?". Необходимо вставить карточку "1.2", выбрать кнопками пункт "Yes" и на появившееся приглашение на LCD-панели и ввести ПИН-код карточки. Таким образом, первая часть ключа активизирована. Далее на LCD-панели появится приглашение для активизации второй части ключа в виде: "Insert 1 of 5, Yes or Esc?". Чтобы активизировать вторую часть ключа, необходимо использовать любые три карточки из следующих пяти ( которые мы обозначаем индексами "2.1", "2.2", ... ,"2.5"), при этом нельзя нарушать порядок следования карточек и необходимо указывать на пропуск карточек, которые не используются, путем выбора соответствующих пунктов в меню LCD-панели. После того как эта процедура будет проведена до конца, мастер инсталляции службы сертификации закончит свою работу (после нажатия клавиши "Готово").

После этого автоматически стартует Служба сертификации Windows.

Процедуру активизации ключа Центра Сертификации необходимо проводить каждый раз при Старте службы сертификации после ее ручного или автоматического останова (например, при перезагрузке Операционной системы).

Дальнейшее развертывание Центра Сертификации Удостоверяющего Центра "КриптоПро УЦ" проводится в соответствии с документацией на “КриптоПро УЦ”, при этом способ защиты ключа TLS-сервера Центра Сертификации выбирается исходя из регламента развертываемого Удостоверяющего Центра.