КріптоПро Revocation Provider
У процесі управління ключами УЦ має можливість відкликання випущених ним сертифікатів, що необхідно для дострокового припинення їх дії, наприклад, в разі компрометації ключа. Процедура перевірки ЕЦП передбачає крім підтвердження її математичної коректності ще й побудова, і перевірку ланцюжка сертифікатів до довіреної УЦ, а також перевірку статусів сертифікатів в ланцюжку.
Таким чином, перевірка статусів сертифікатів важлива для додатків, що використовують ІВК, оскільки, наприклад, прийняття до обробки підписаного ЕЦП документа, відповідний сертифікат ключа підпису якого анульований, може бути згодом оскаржене і привести до фінансових втрат.
В ОС Microsoft Windows вбудована підтримка технології ІВК. Багато додатків, що працюють під управлінням цих ОС, використовують інтерфейс CryptoAPI для здійснення функцій криптографічного захисту інформації. Функції CryptoAPI використовують, наприклад, такі програми: Internet Explorer, Outlook Express, Outlook, Internet Information Server і ін.
За замовчуванням CryptoAPI здійснює перевірку статусів сертифікатів з використанням СОС (CRL). СОС є список анульованих або призупинених сертифікатів, що видається періодично - наприклад, раз в тиждень. СОС не відображає інформацію про статуси в реальному часі, а також має ряд інших недоліків, яких позбавлений протокол OCSP - протокол отримання статусу сертифіката в реальному часі.
Архітектура CryptoAPI надає можливість підключення зовнішнього модуля перевірки статусу сертифіката - Revocation Provider.
КріптоПро Revocation Provider призначений для вбудовування перевірки статусів сертифікатів відкритих ключів в режимі реального часу по протоколу OCSP в ОС Windows.
КріптоПро Revocation Provider призначений для вбудовування перевірки статусів сертифікатів відкритих ключів в режимі реального часу по протоколу OCSP в ОС Windows.
КріптоПро Revocation Provider. будучи встановлений в системі, вбудовується в CryptoAPI і тим самим забезпечує перевірку статусів сертифікатів у всіх додатках по протоколу OCSP, причому міняти що-небудь в самих додатках не потрібно. Revocation Provider викликається автоматично кожного разу, коли додаток здійснює дії з сертифікатом. Перевірка сертифіката в реальному часі за протоколом OCSP забезпечує більшу безпеку в порівнянні з СОС.
Схема вбудовування Revocation Provider в ОС представлена на малюнку.
Щоб забезпечити використання протоколу OCSP для перевірки статусів сертифікатів, які використовуються в конкретній інформаційній системі, необхідно, щоб в даній системі працював сервер OCSP.
Як сервер OCSP для КріптоПро Revocation Provider можна використовувати КріптоПро OCSP Server.
КріптоПро Revocation Provider функціонує в наступних операційних системах:
КріптоПро Revocation Provider:
- Вбудовує перевірку статусу сертифікатів по протоколу OCSP в усі додатки операційної системи.
- Не вимагає модифікації додатків для використання своїх можливостей.
- Зменшує ризик стати жертвою шахрайства або понести відповідальність.
- Сумісний з серверними додатками.
- Автоматично перевіряє статуси сертифікатів OCSP-серверів.
- Підтримує розширення id-pkix-ocsp-nocheck. Якщо таке розширення присутній в сертифікаті OCSP- сервера, то статус цього сертифікату не перевіряється.
- Автоматично перевіряє, чи уповноважений OCSP-сервер Засвідчуючим Центром, який видав сертифікат, що перевіряється, видавати інформацію про статус даного сертифіката.
- Налаштовується через групові політики.
- Дає можливість налаштування довіри до конкретних OCSP-серверів.
- При неможливості перевірки сертифіката по протоколу OCSP передає його в Microsoft Revocation Provider, який проводить перевірку за СОС.
- Може здійснювати з'єднання по захищеному протоколу TLS (SSL).
- Встановлюється за допомогою Windows Installer.
Як викликається Revocation Provider
Будучи встановленим в системі, Revocation Provider викликається для перевірки сертифіката (ів) при кожному виклику функції CryptoAPI CertVerifyRevocation. Фактично, всі параметри цієї функції передаються без змін до Revocation Provider. Крім безпосереднього виклику, ця функція, а значить і Revocation Provider, викликається неявно всередині функцій CertGetCertificateChain і WinVerifyTrust.
Як працює Revocation Provider
Коли додаток, що працює з CryptoAPI, викликає функцію перевірки статусу сертифіката, в Revocation Provider передається цей сертифікат разом з низкою додаткових параметрів.
Черговість звернення до служб OCSP визначається наступним чином:
Якщо на попередніх етапах не вдається отримати задовольняє описаним умовам відповідь, то сертифікат передається на перевірку в Microsoft Revocation Provider, що входить до складу ОС Windows. Microsoft Revocation Provider здійснює перевірку даного сертифіката з використанням СОС. Отриманий статус сертифіката повертається з додатком.
КріптоПро Revocation Provider використовує сертифіковане ФСБ Росії засіб криптографічного захисту КріптоПро CSP 3.0.