За замовчуванням, додатки, що використовують CryptoAPI, здійснюють перевірку статусів сертифікатів з використанням списків відкликаних сертифікатів (СОС). СОС є список недійсних сертифікатів, що видається періодично. СОС не відображає інформацію про статуси сертифікатів в реальному часі, а також має ряд інших недоліків, яких позбавлений протокол OCSP - протокол отримання статусу сертифіката в реальному часі.
Архітектура CryptoAPI надає можливість підключення зовнішніх модулів перевірки статусу сертифіката. Таким і є продукт "КріптоПро Revocation Provider", який призначений для вбудовування перевірки статусів сертифікатів відкритих ключів в режимі реального часу по протоколу OCSP в операційні системи сімейства Microsoft Windows. При цьому міняти що-небудь в самих додатках не потрібно. "КріптоПро Revocation Provider" викликається автоматично кожного разу, коли додаток здійснює дії з сертифікатом.
Малюнок 3. Схема вбудовування КріптоПро Revocation Provider в ОС MS Windows
· Призначає перевірку статусу сертифікатів по протоколу OCSP в усі додатки операційної системи, що працюють через CryptoAPI.
· Не вимагає модифікації додатків, що працюють через CryptoAPI, для використання своїх можливостей.
· Автоматично перевіряє статуси сертифікатів OCSP-серверів.
· Автоматично перевіряє, чи уповноважений OCSP-сервер Засвідчуючим центром, який видав сертифікат, що перевіряється, видавати інформацію про статус даного сертифіката.
· Настроюється через групові політики.
· Дає можливість налаштування довіри до конкретних OCSP-серверів.
· При неможливості встановлення статусу сертифіката по протоколу OCSP передає його в Microsoft Revocation Provider, який проводить перевірку за СОС.
· Може здійснювати з'єднання по захищеному протоколу TLS (SSL).
20. КріптоПро TSP Server (основні визначення, призначення, характеристики) і вдосконалена підпис КріптоПро (схема і формат вдосконаленою підписи, архівне зберігання, технологічні процедури створення і перевірки удосконаленої ЕЦП).
Використання ПАК "КріптоПро TSP" дозволяє учасникам інформаційних систем отримувати штампи часу, пов'язані з електронними документами. Штамп часу вдає із себе електронний документ, підписаний електронним цифровим підписом (електронним підписом), де підписаними даними є значення хеш-функції електронного документа і час надання штампа часу. Таким чином, штамп часу однозначно пов'язаний з електронним документом, на який він видається і забезпечує його цілісність.
Функції штампа часу:
1. фіксація часу створення електронного документа;
2. фіксація часу формування електронного цифрового підпису (електронний підпис) електронного документа;
3. фіксація часу виконання будь-якої операції, пов'язаної з обробкою електронного документа;
4. довготривале зберігання електронних документів, в тому числі і після закінчення терміну дії сертифікатів перевірки підпису користувача.
Протокол TSP (Time-Stamp Protocol) є протоколом типу "запит-відповідь". Весь обмін полягає в двох повідомленнях. Клієнт ініціює взаємодію, посилаючи серверу запит на штамп часу, на що сервер повертає відповідь, що містить випущений штамп або не містить його в разі помилки.
Застосування ЕЦП свідчить, що при використанні ЕЦП в юридично значимому електронний документообіг, в разі виникнення спору досить важко, а часом і неможливо, довести справжність ЕЦП і момент підпису (створення) ЕЦП. Ці труднощі можуть привести до того, що арбітр не прийме електронний документ як письмовий доказ. Дані труднощі породжуються рядом проблем, властивих "класичної" ЕЦП, а саме:
· Немає докази моменту підпису;
· Труднощі доведення статусу сертифіката відкритого ключа підпису на момент підпису (або дійсний, або анульований, або припинений).
Формат вдосконаленою ЕЦП
Новий формат підпису вирішує проблеми класичної ЕЦП і безліч інших потенційних проблем, забезпечуючи:
· Доказ моменту підпису документа і дійсності сертифіката ключа підпису на цей момент,
· Відсутність необхідності мережевих звернень при перевірці підпису,
· Архівне зберігання електронних документів,
· Простоту вбудовування та відсутність необхідності контролю вбудовування.
Перевірка достовірності ЕЦП без мережевих звернень
Вкладення в реквізити документа всіх доказів, необхідних для перевірки достовірності ЕЦП, забезпечує можливість оффлайн-перевірки достовірності ЕЦП. Доступ до сховища сертифікатів, службам OCSP та службам штампів часу необхідний тільки в момент створення підпису.
Використання удосконаленої підписи є необхідною умовою архівного зберігання електронних документів, засвідчених ЕЦП.
У форматі вдосконаленою підпису вся необхідна інформація для перевірки достовірності ЕЦП знаходиться в реквізитах документа. Для збереження юридичної значимості електронних документів при архівному збереженні залишається тільки забезпечити їх цілісність організаційно-технічними заходами. В цьому випадку справжність ЕЦП може бути підтверджена через скільки завгодно довгий час, в тому числі і після закінчення терміну дії сертифіката ключа підпису.
21. ЕЦП на основі засвідчувального центру КріптоПро (структура, склад та основні можливості УЦ КріптоПро, взаємодія компонентів УЦ КріптоПро, режими роботи засвідчує,).