Techlab

Witamy w serwisie

Innowacyjne Rozwiązania Elektroniczne

Stacja Zarządzania Kluczami (Teacup)  

Stacja Zarządzania KluczamiStacja zarządzania kluczami (dalej SZK) realizuje funkcje Urzędu Certyfikacji (UC), najważniejszego elementu Infrastruktury Klucza Publicznego (IKP), oraz Punktu Rejestracji (PR). Powiązanie w jednym elemencie systemu zarówno UC jaki i PR jest optymalne ekonomicznie w przypadku małych i średnich sieci (do kilkuset, pojedynczych tysięcy użytkowników).

Sercem SZK jest Bezpieczny Moduł Kryptograficzny (dalej: BMK) będący specjalizowanym wieloprocesorowym komputerem pracującym pod kontrolą niejawnego systemu operacyjnego czasu rzeczywistego. BMK jest zabezpieczony elektronicznie i mechanicznie przed penetracją i innymi atakami. BMK wyposażony jest w 4 czytniki kart elektronicznych. Dwa z nich służą kartom będącym nośnikami klucza prywatnego UC, który przechowywany jest na nich w taki sposób, że do odtworzenia klucza wewnątrz urządzenia potrzebne są dwie karty włożone jednocześnie do dwóch czytników BMK. Trzeci czytnik jest przeznaczony do współpracy z kartami personelu, w celu jego uwierzytelnienia przed systemem. Zadaniem czwartego czytnika jest personalizacja kart użytkowników systemu. Czytniki skonstruowane i sterowane są w taki sposób, że zabezpieczają karty przed wydaniem osobom nieuprawnionym. Wszystkie operacje istotne z punktu widzenia bezpieczeństwa wykonywane są wewnątrz BMK. Urządzenie prowadzi dwa dobrze strzeżone logi: bezpieczeństwa i aktywności zapewniające rozliczalność działania SZK.

Z BMK współpracuje aplikacja ASZK będąca wygodnym interfejsem użytkownika oraz baza danych BSZK przechowująca wszystkie niezbędne informacje związane z IKP. Obie działają na standardowym komputerze PC, którego interakcje z otoczeniem powinny być ściśle kontrolowane. Bezpieczeństwo obu tych elementów jest zapewniane przez BMK. Przede wszystkim ASZK i BMK wzajemnie się uwierzytelniają przed sobą. Co więcej kluczowy element ASZK jest pobierany z BMK. Dodatkowo wszystkie polecenia istotne z punktu widzenia bezpieczeństwa systemu potwierdzane są na interfejsie użytkownika (wyświetlacz graficzny + klawiatura) wbudowanym w BMK. Wszystkie rekordy BSZK są podpisane przez BMK. Dodatkowo wrażliwe rekordy są przechowywane wyłącznie w postaci zaszyfrowanej przez BMK i nigdy nie są wydawane w postaci jawnej na zewnątrz. SZK pozwala zdefiniować politykę funkcjonowania UC a także ułatwia i wymusza jej stosowanie, odciążając realizatorów systemu od tworzenia wielu procedur oraz wspomagając operatorów w codziennych działaniach.

Istotną cechą SZK jest możliwość utworzenia wielu sieci przy wykorzystaniu jednego stanowiska SZK, gdyż jedna SZK może kreować dowolnie wiele niezależnych UC z możliwością utworzenia hierarchii pomiędzy nimi. Ograniczeniem jest tu jedynie wielkość pamięci dyskowej współpracującego komputera PC.

Względy bezpieczeństwa, czyli zasada wielu par oczu, oraz wymaganie zapewnienia ciągłości pracy wymagają aby personel obsługujący BMK był dosyć liczny, choć poza operatorami niezbyt obciążony pracą. W jego skład wchodzi kilka osób (od 4 do 8) dysponujących nośnikami zawierającymi elementy składowe klucza prywatnego UC, operator lub operatorzy wykonujący codzienne czynności obsługowe, administrator odpowiedzialny za prawidłowe skonfigurowanie systemu i nadzór nad jego pracą od strony informatycznej oraz inspektor bezpieczeństwa i audytor, których zadaniem jest nadzór nad zachowaniem procedur bezpieczeństwa.

Karta katalogowa SZK dostępna jest tutaj.