СИСТЕМА УЧЕТА СЕРТИФИКАТОВ

Функциональность СЭД «ДЕЛО»

ЭОС PKI-сервис обеспечивает:

• Централизованное хранение и ведение реестра сертификатов ЭП организации и корреспондентов.
• Учёт и управление сертификатами ЭП организации.
• Автоматический импорт сертификатов Аккредитованных УЦ РФ (КЭП).

Основной программный компонент ЭОС PKI-сервиса. Веб-приложение. Хранит сертификаты и списки отзыва, обрабатывает их информацию и предоставляет ее остальным компонентам. Исполняется в фоновом режиме (как служба).

С установленной периодичностью отбирает сертификаты, требующие внимания оператора (истечение срока действия, отзыв) и оповещает о них посредством  e-mail. Запускается периодически.

Веб-сайт для отображения информации по наблюдаемым сертификатам и интерактивного взаимодействия с оператором.

Веб-сервис, предназначенный для автоматизированного получения информации по сертификатам стороннему ПО.

СПО КАРМА, установленное на компьютерах организации, может подключаться к данному сервису как к внешнему хранилищу сертификатов с функцией автоматической актуализации статусов сертификатов.

Управление «собственными» сертификатами

Централизованный контроль и мониторинг сертификатов пользователей, систем, сайтов и пр. Хранение, учет, статистика, оповещение о завершении срока действия.

Управление «внешними» сертификатами

Предоставление актуальных цепочек и статусов сертификатов для проверки электронных подписей, как в системе квалифицированной электронной подписи (КЭП), так и при использовании внешних или внутриорганизационных Удостоверяющих Центров.

Сокращение временных и финансовых затрат на управление сертификатами пользователей и взаимодействие с внешними контрагентами.

Оповещение по e-mail об окончании срока действия или отзыве сертификата

Актуализация статуса сертификатов

Автоматическая актуализация статуса сертификатов, помещенных на наблюдение в сервис

Создание импортонезависимой среды доверия PKI, без использования инфраструктуры операционной системы

Предоставление по запросу полных и актуальных цепочек сертификатов для проверки электронной подписи

Централизованное хранилище сертификатов для СПО КАРМА.

Презентация системы ЭОС PKI-сервис

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Решения для управления ключевыми носителями весьма востребованы отечественными компаниями. Не в последнюю очередь спрос на такие системы обусловлен нормативными актами регулирующих органов, устанавливающими требования к цифровой подписи и особый порядок учёта криптографических ключей, ограничивающими возможности использования несертифицированных решений.

Базовые документы, регулирующие использование криптографических ключей российскими организациями:

• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «О цифровой подписи»,
• приказ ФАПСИ № 152 от 13 июня 2001 г.,
• приказ ФСБ России № 66 от 9 февраля 2005 г.,
• приказ ФСБ России № 378 от 10 июля 2014 г.,
• приказ председателя Гостехкомиссии России № 114 от 4 июня 1999 г.,
• приказ ФСТЭК России № 17  от 11 февраля 2013 г.,
• приказ ФСТЭК России № 21 от 18 февраля 2013 г.,
• приказ ФСТЭК России № 31 от 14 марта 2014 г.,
• приказ ФСТЭК России № 239 от 25 декабря 2017 г.

Кроме того, для поставки программных продуктов в государственные органы и муниципальные службы они должны быть сертифицированы ФСТЭК России и включены в реестр отечественного ПО.

Эти факторы существенно ограничивают деятельность зарубежных поставщиков на рынке систем управления ключевыми носителями, что привело к активному развитию решений российских разработчиков. « Большая четвёрка» отечественных вендоров в этом сегменте выглядит следующим образом: «Индид», «Аванпост», «Актив», «Аладдин Р. Д.». Необходимо учитывать тот факт, что «Индид» и «Актив» продают один и тот же продукт — каждая под своим брендом (решение разработано «Индидом» и поставляется «Активом» по концепции White Label).

Следует отметить, что компании «Аладдин Р. Д.» и «Актив» являются также поставщиками аппаратных решений для идентификации — токенов и смарт-карт JaCarta и «Рутокен» соответственно. Мы уже публиковали сравнение
ключей различных производителей, представленных на отечественном рынке.

Западные вендоры не в состоянии конкурировать с российскими разработчиками на рынке госконтрактов, но, тем не менее, готовы поставлять свои продукты коммерческим компаниям. Особенно сильны их позиции в секторе автоматизации местных филиалов глобальных компаний. На отечественном рынке работают представительства HID Global и Gemalto (ныне вошедшей в состав Thales).

Отсутствие давления со стороны зарубежных поставщиков, уникальные требования российских регуляторов и высокая конкуренция на внутреннем рынке привели к активному развитию функциональных возможностей отечественных продуктов. Многие из таких систем, представленных в обзоре, не только не уступают западным аналогам, но и превосходят их. Зачастую российские компании способны предоставить заказчику продукт с более широким набором функций и даже предложить более гибкую и экономически эффективную схему лицензирования.

Краткий обзор возможностей систем управления ключевыми носителями

В этом разделе представлены описания тех продуктов, которые доступны для приобретения на территории России.

Avanpost PKI

Российская компания «Аванпост» выпустила новую версию своей системы управления ключевыми носителями. Avanpost PKI предназначена для управления сертификатами безопасности, физическими устройствами и СКЗИ на протяжении всего их жизненного цикла — от выпуска до блокировки и отзыва. Решение состоит из серверной части, базы данных, веб-клиента для пользователя и администратора, а также агента, отвечающего за взаимодействие с ключевыми носителями в фоновом режиме.

Avanpost PKI поддерживает большое число носителей, представленных на отечественном рынке, включая полную линейку ключей eToken и «Рутокен», а также разработки JaCarta и ESMART. Система интегрируется с кадровыми решениями отечественных и зарубежных производителей и способна получать сведения о пользователях из LDAP-каталогов, CRM-продуктов и банковского ПО на основе разработок Step Up и BSS.

Решение Avanpost PKI может применяться как на предприятиях, использующих различные виды ключевых носителей в своей деятельности, так и в компаниях, оказывающих услуги по выпуску сертификатов безопасности. Система поддерживает иерархию «центр регистрации — компания — работник» с возможностью многоуровневого разделения доступа администраторов. В качестве конечного пользователя ключа может выступать не только сотрудник компании, но и информационная система. При этом в Avanpost PKI 6 можно вести учёт владельцев таких ИС.

Функциональные возможности Avanpost PKI 6:

Больше информации о решении Avanpost PKI можно найти на сайте
разработчика.

HID ActivID Credential Management System

Один из ведущих производителей средств контроля доступа к физическим и цифровым объектам имеет в своём пакете решений и программное обеспечение для управления ключевыми носителями. Система HID ActivID Credential Management System предназначена для выпуска и управления жизненным циклом USB-токенов, смарт-карт, модулей Windows TPM и других носителей. Решение HID способно управлять средствами аутентификации для доступа к серверам и рабочим станциям как в границах периметра безопасности, так и за его пределами. При этом система может применяться не только для контроля доступа к объектам сетевой инфраструктуры, но и для подписывания и шифрования отдельных документов, электронных писем и других важных данных.

Возможности системы управления средствами идентификации HID ActivID CMS:

• Выпуск единых смарт-карт с цифровыми сертификатами для доступа к информационным системам и физическим объектам, а также для защиты данных с помощью цифровой подписи и шифрования.
• Управление жизненным циклом (замена, разблокировка, временный выпуск, приостановка, отзыв и др.) средств идентификации — физических носителей, приложений, цифровых сертификатов, а также данных, включая постоянные пароли и биометрическую информацию.
• Мониторинг всех действий над средствами идентификации и вывод отчётов на основании собранных журналов.
• Совместимость и возможность интеграции с широким спектром программного и аппаратного обеспечения.
• Возможность совместной работы со службами каталогов, удостоверяющими центрами и принтерами смарт-карт.
• Безопасная передача данных между средствами аутентификации и сервером. Как заявляет производитель, зашифрованная информация с токена или карты передаётся напрямую на чип элемента безопасности.

Решение интегрируется с другими программными продуктами HID Global, работающими с ключевыми носителями. Например, если компания выпускает смарт-карты не самостоятельно, а при помощи авторизованного сервис-бюро, то для передачи больших объёмов конфиденциальных данных можно использовать систему ActivID Batch Management System (BMS). В качестве агента идентификации на рабочих станциях и других объектах ИТ-инфраструктуры используется приложение ActivID ActivClient.

Подробная информация о системе управления средствами идентификации HID ActivID доступна на сайте
вендора.

Indeed Certificate Manager

Система управления ключевыми носителями Indeed Certificate Manager предназначена для администрирования жизненного цикла сертификатов безопасности, учёта физических носителей (токенов, смарт-карт и т. д.), а также контроля политик безопасности в отношении средств криптографической защиты. Совместно с другими решениями компании «Индид» продукт реализует механизм двухфакторной аутентификации и систему единого входа (SSO) с использованием физических и электронных ключей. Indeed Certificate Manager соответствует регламентным требованиям, предъявляемым к учёту средств криптографической защиты информации (СКЗИ), и обеспечивает ведение электронного журнала для таких ключей.

Архитектура решения включает следующие компоненты:

• Сервер, работающий в среде Internet Information Services (IIS).
• Реестр ключевых носителей, в котором хранится информация обо всех сертификатах, токенах и смарт-картах, зарегистрированных в системе.
• Журнал СКЗИ, предназначенный для выполнения требований контролирующих органов в сфере учёта криптографических ключей.
• Журнал событий для фиксации всех действий с ключевыми носителями и анализа инцидентов.
• Хранилище данных на базе Active Directory или SQL.
• Пользовательский клиент — агент, устанавливаемый на рабочих станциях в целях контроля действий с ключевыми носителями и дистанционного выполнения операций с ними.

Интеграция с другими продуктами, удостоверяющими центрами и каталогами пользователей осуществляется через набор коннекторов и программный интерфейс (API).

Функциональные возможности Indeed Certificate Manager:

• Формирование политик безопасности в отношении PKI и выпуск сертификатов на основании их требований.
• Контроль жизненного цикла сертификатов — выпуск, запись на ключевой носитель, обновление, блокировка, отзыв. Часть операций может выполняться в автоматическом режиме.
• Учёт носителей применительно к их владельцам и ведение журнала действий с ключами. Система позволяет привязывать токен или смарт-карту к определённому рабочему месту или пользователю, а также автоматически блокировать ключевой носитель в случае нелегитимного использования.
• Механизм самообслуживания для снижения нагрузки на администраторов системы за счёт передачи пользователям рутинных операций с ключами.
• Выпуск смарт-карт без физических носителей. Поддерживается выпуск сертификатов в реестр Windows, работа с виртуальными смарт-картами на базе Trusted Platform Module 2.0 и Windows Hello for Business. Контейнеры Indeed AirKey Enterprise могут быть удалённо доставлены на компьютер и обладают всеми возможностями реального ключа.
• Формирование и распространение политик PIN-кодов, которые задают длину секретной последовательности, возможность или необходимость использования определённых символов, срок применения и другие параметры. P IN-код может быть задан пользователем или назначен системой.
• Поддержка стандартов PCI DSS 3.2 в части аутентификации сотрудников.

Indeed Certificate Manager поддерживает ключевые носители «Рутокен», JaCarta, eToken, ESMART, а также AvestKey и ID Prime. Система работает с удостоверяющими центрами Microsoft CA и «КриптоПро», а данные о пользователях получает из Active Directory или базы УЦ.

Дополнительную информацию об Indeed Certificate Manager ищите на сайте
разработчика.

JaCarta Management System

Производитель заявляет, что масштабируемость системы даёт возможность управлять жизненным циклом более чем миллиона ключевых носителей в рамках одной организации. Архитектура решения помимо серверной части, базы данных и клиента включает собственное криптохранилище для критически важных данных. Разработчики создали открытый API, который позволяет эксплуатантам и вендорам разрабатывать коннекторы для интеграции JaCarta Management System с внешними решениями и информационными системами организации. Для связи с мобильными устройствами и IoT-клиентами создатели системы предлагают отдельный модуль JaCarta Mobile Gateway.

Возможности JaCarta Management System:

• Автоматизация учёта аппаратных средств аутентификации (электронных ключей, ЭК), OTP- и U2F-аутентификаторов и сертификатов пользователей.
• Автоматизация процесса управления электронными ключами (регистрация и назначение пользователю, инициализация, синхронизация — запись / удаление ключевой информации и аутентификационных данных в соответствии с установленными администратором ПО JMS политиками использования ЭК, блокирование ЭК в случае утери, назначение пользователю нового ЭК при утере, повреждении или выводе из эксплуатации назначенного ранее).
• Автоматизация операций управления OTP- и U2F-аутентификаторами пользователей (назначение, блокировка, удаление) в соответствии с установленными администратором ПО JMS политиками их использования.
• Реализация сервера аутентификации (2ФА) с поддержкой протоколов одноразовых паролей (HOTP и TOTP) и протокола U2F для реализации усиленной аутентификации пользователей в целевых системах.
• Поэкземплярный учёт СКЗИ в соответствии с требованиями регуляторов.
• Поддержка всех распространённых моделей ЭК — JaCarta, «Рутокен», ESMART.
• Возможность работы с сертификатами без привязки к ЭК.
• Возможность учёта и управления жизненным циклом средств контроля отчуждения (переноса) информации со съёмных машинных носителей информации (защищённых USB-устройств).
• Универсальный коннектор к УЦ («из коробки» — УЦ «КриптоПро», VipNet, Notary-Pro).
• Коннектор к Offline Certification Authority — компонент, позволяющий из консоли управления JMS выполнять операции запроса, временного блокирования и отзыва сертификатов путём обращения к удостоверяющим центрам, не имеющим сетевого подключения к телекоммуникационным сетям общего пользования.
• Универсальный коннектор к ресурсным системам («из коробки» — Active Directory, «КриптоПро», JaCarta Directory Service).
• Коннектор к «КриптоПро DSS», обеспечивающий полнофункциональное управление из консоли администратора JMS.

Полная информация о решении JaCarta Management System доступна на сайте
компании «Аладдин Р. Д.».

SafeNet Authentication Manager

Компания Thales предлагает программный комплекс для централизованного управления ключевыми носителями PKI — SafeNet Authentication Manager (SAМ). Продукт вошёл в состав продуктовой линейки компании Thales после того, как она в 2019 году приобрела компанию Gemalto. Решение предназначено для развёртывания и сопровождения USB-токенов eToken и смарт-карт IDPrime MD в масштабах крупных организаций.

SafeNet Authentication Manager увязывает между собой пользователей, их ключевые носители, приложения и ресурсы, доступ к которым нужно ограничивать, а также политику безопасности — правила и регламенты, принятые в организации.

SafeNet Authentication Manager может быть интегрирован с SafeNet Authentication Client (SAC) — программным клиентом, который включает в себя как драйверы для работы с носителями и информацией на них, так и пользовательские инструменты самостоятельного администрирования ключевых носителей.

SafeNet Authentication Manager обеспечивает:

• Учёт всех ключевых носителей PKI в организации.
• Запись ключевой информации и аутентификационных данных на носители.
• Персонализацию ключевых носителей.
• Управление жизненным циклом ключевых носителей PKI: обновление цифровых удостоверений, изменение прав доступа к приложениям при изменении служебных обязанностей или увольнении сотрудника.
• Замену носителей, если их забыли дома, потеряли, сломали или заблокировали.
• Аудит использования USB-ключей или смарт-карт, при котором фиксируются все факты использования носителей на компьютерах организации, а также изменения хранящейся на носителе информации.
• Формирование отчётности с помощью встроенного генератора или экспорта во внешние средства построения отчётов.
• Техническую поддержку пользователей через веб-сайт.

SafeNet Authentication Manager 9.0 поддерживает разные версии операционной системы Microsoft Windows Server (включая 2016) и разные службы каталогов, в том числе Microsoft Active Directory, Active Directory Application Mode (ADAM), OpenLDAP и другие.

Больше информации о SafeNet Authentication Manager можно найти на сайте
производителя.

«Рутокен KeyBox»

Отечественный производитель электронных идентификаторов и средств контроля доступа предлагает систему управления ключевыми носителями «Рутокен KeyBox», которая представляет собой ребрендинг системы Indeed Certificate Manager. Программный продукт поддерживает всю линейку ключей этого вендора, а также распространённые в России носители других компаний, включая JaCarta, eToken, Gemalto, ESMART и другие. Решение позволяет управлять всем жизненным циклом электронных ключей через связь учётных записей пользователей, средств аутентификации и регламентов безопасности.

Система реализует выпуск сертификатов через удостоверяющие центры, использующие отечественные криптографические стандарты, и поддерживает решения, применяющие усиленную или квалифицированную электронную подпись.

Архитектура «Рутокен KeyBox» состоит из серверных компонентов, включающих:

• сервер, реализующий основные функции системы,
• базу данных на основе каталогов Active Directory или SQL-сервера,
• программные модули, отвечающие за функционирование панели администрирования и пользовательских сервисов самообслуживания,
• журнал событий для записи действий пользователей и администраторов системы,
• библиотеку плагинов для интеграции с продуктами других производителей,
• подсистему взаимодействия с удостоверяющим центром «КриптоПро» или Microsoft Certification Authority.

На рабочие станции устанавливается клиентский модуль и приложение Credential Provider, предназначенное для разблокировки токена без авторизации в ОС.

В «Рутокен KeyBox» выделены четыре базовые роли: пользователь, которому доступны операции по смене PIN-кода токена, обновлению сертификата безопасности и блокировке ключа в случае утраты; оператор службы поддержки (helpdesk), который может выпускать ключи, регистрировать токены и привязывать их к определённому пользователю; администратор системы, отвечающий за разработку шаблонов сертификатов и политик PIN-кодов носителей, а также имеющий возможность настраивать подключения к УЦ и устанавливать параметры жизненного цикла ключей; аудитор, имеющий доступ только для чтения. Доступна возможность настройки других ролей.

Функциональные возможности «Рутокен KeyBox»:

• Управление жизненным циклом ключевых носителей (токенов и смарт-карт) — от постановки на учёт и ввода в эксплуатацию до вывода из эксплуатации и списания.
• Управление информацией на ключевых носителях: генерация ключей, запись сертификатов, обновление данных.
• Управление политиками PIN-кодов носителей.
• Учёт и контроль носителей с ключами и сертификатами, выпущенными сторонними удостоверяющими центрами.
• Пользовательские шаблоны взаимодействия для уменьшения времени выполнения операций и снижения вероятности человеческих ошибок.
• Возможность интеграции с внешними системами: СКУД, SSO, IdM/IAM, СЗНСД, комплексами мониторинга и управления ИБ, кадровыми системами.
• Возможность ведения автоматизированного учёта СКЗИ в соответствии с нормативными документами.

Решение предназначено для сетей, построенных на базе платформы Windows. Серверная часть работает в рамках Microsoft Windows Server 2008—2012, а веб-клиент — в основных Windows-браузерах.

Всю информацию о «Рутокен KeyBox» можно найти на странице
с описанием продукта на сайте производителя.

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами

В России, в отличие от мирового рынка, устоялся более узкий рынок, куда вошли системы управления ключевыми носителями и цифровыми сертификатами.

Они применяются как в государственном, так и в коммерческом секторе. Одним из главных преимуществ российских продуктов является то, что они работают со всеми самыми распространенными в нашей стране моделями токенов (SafeNet eToken, JaCarta, Rutoken и т. д.) и смарт-карт, а также интегрируются с российскими удостоверяющими центрами.

Кроме того, отличительной особенностью российских продуктов является функция ведения поэкземплярного учета средств криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ России, которые присущи только нашему рынку.

Российские известные решения представлены такими компаниями, как «Аванпост», «Аладдин Р. Д.», Indeed ID и «Актив».

Из зарубежных производителей в России широко представлены продукты таких компаний, как Gemalto (купившая SafeNet) и HID Global. При этом компания Gemalto является обладателем прав на продукцию SafeNet, включая популярную у нас линейку eToken (первоначально принадлежавшую Aladdin Knowledge Systems и ранее приобретенную SafeNet).

Часть представленных решений являются сертифицированными средствами защиты информации и имеют сертификаты соответствия ФСТЭК России. Ниже представлен перечень сертифицированных продуктов с указанием имеющихся у них сертификатов соответствия ФСТЭК России:

• программный комплекс Avanpost (компания «Аванпост») — сертификат ФСТЭК России № 2710 от 07.09.2012 до 07.09.2018 на соответствие ТУ и 4 уровню РД НДВ (серия);
• программное обеспечение JaCarta Management System (компания «Аладдин Р. Д.») — сертификат ФСТЭК России № 3355 от 02.03.2015 до 02.03.2018 по 4 уровню РД НДВ и ТУ (серия);
• программное обеспечение SafeNet Authentication Manager 8.2 (компания Gemalto) — сертификат ФСТЭК России № 2769 от 03.12.2012 до 03.12.2018 на ТУ и 4 РД НДВ с ограничениями (серия).

Краткий обзор продуктов, представленных на российском рынке, приведен ниже.

Модуль«Мониторинг и управление сертификатами ЭП»

Мировой рынок систем управления ключевыми носителями и цифровыми сертификатами

С одной стороны, рынок систем управления ключевыми носителями относительно узок, а количество игроков, имеющих специализированные решения для контроля жизненного цикла физических устройств такого рода, невелико. С другой стороны, в составе продуктов для аутентификации, имеющихся в портфелях десятков производителей, встречаются подсистемы, отвечающие за менеджмент ключей.

Ещё один аспект глобального рынка — решения для управления цифровыми сертификатами, не связанными с физическими устройствами. Здесь мы наблюдаем обратный процесс: разработчики продуктов для управления ключевыми носителями добавляют в свои продукты функции по контролю внешних сертификатов, а также виртуальные ключи. В этом секторе всё большую долю рынка забирают облачные решения, связанные с управлением сертификатами безопасности в распределённых хранилищах.

Рисунок 1. « Магический квадрант» Gartner для сектора Access Management, 2018 год

В связи с этим можно обозначить три группы вендоров, действующих на рынке систем управления ключевыми носителями и PKI-сертификатами. Мы выделили наиболее важных, по нашему мнению, игроков в каждой из них.

Поставщики специализированных решений по управлению ключевыми носителями:

• HID Global — Active ID,
• Thales (Gemalto) — SafeNet Key Secure,
• Cryptomathic — Crypto Key Management System.

Разработчики продуктов для управления сертификатами безопасности:

• IBM — Security Key Lifecycle Manager,
• Amazon — AWS Key Management Service,
• Google — Cloud Key Management Service,
• Microsoft — Azure Key Vault,
• Townsend Security — Alliance Key Manager.

Поставщики комплексных решений для аутентификации с некоторыми функциями управления ключевыми носителями:

• RSA — Identity and Access Management,
• SecureAuth — Intelligent Identity Cloud,
• OneSpan — Intelligent Adaptive Authentication.

Системы управления ключевыми носителями и цифровыми сертификатами

Все системы управления ключевыми носителями, представленные на рынке, позволяют выполнять ряд базовых операций, возникающих в течение жизненного цикла электронного средства аутентификации:

• Выпуск сертификата безопасности при помощи собственного или внешнего удостоверяющего центра.
• Привязка сертификата к физическому носителю — токену или смарт-карте. Ряд систем реализует управление виртуальными носителями. Это могут быть сертификаты безопасности в реестре ПК или специальные контейнеры (виртуальные смарт-карты и т. п.), которые можно передавать по сети или привязывать к USB-накопителям.
• Постоянная или временная блокировка ключевого носителя, перевыпуск ключа, создание его дубликата и другие текущие операции.

Большинство систем позволяет вести учёт ключевых носителей, а также ведение журнала действий с ними. К функциям этого блока относятся:

• Хранение информации о владельце ключа и привязка носителя к определённому рабочему месту.
• Операции перемещения носителя между подразделениями и филиалами компании.
• Формирование отчётов о действиях пользователей и администраторов, связанных с ключевыми носителями.

Некоторые решения предоставляют возможность передавать журналы работы с ключами в SIEM-продукты для дальнейшей обработки и анализа. Отечественные системы дополнительно реализуют функции поэкземплярного учёта СКЗИ и составления связанных с ними регламентных отчётов.

На рабочем месте пользователя обычно устанавливается клиентская часть системы управления ключевыми носителями. Она отвечает за проверку валидности ключа, а также за ряд операций с ним. Нередко такие агенты предоставляют администратору возможность удалённой блокировки токена или смарт-карты.

Ещё одной типовой функцией решений для управления ключевыми носителями является поддержка каталогов пользователей, однако подход к её реализации различается. Большинство продуктов взаимодействует с сервисами Active Directory, некоторые решения используют коннекторы к кадровым и CRM-системам, отдельные вендоры пошли по пути создания собственной службы каталогов.

Архитектура большинства систем управления ключевыми носителями включает следующие компоненты:

• Серверная часть, отвечающая за управление защищёнными носителями и связанными с ними политиками безопасности.
• База данных, где хранится информация о пользователях, смарт-картах и токенах, а также настройках системы.
• Панель управления, обеспечивающая административные функции — регистрацию и отзыв ключей, настройку политик безопасности и т. д.
• Клиентская часть, отвечающая за коммуникацию между ключевым носителем и сервером. В ряде систем такой агент предоставляет пользователю возможность самостоятельно управлять носителем.
• Плагины и коннекторы, осуществляющие связь системы с удостоверяющими центрами и внешними платформами.

Краткий обзор систем управления ключевыми носителями и цифровыми сертификатами

Аванпост

Компанией «Аванпост» на рынке представлен программный комплекс Avanpost, решающий задачи по автоматизации задач, связанных с организацией и управлением доступом к информационным ресурсам предприятия. В его состав входит модуль, обеспечивающий централизованное управление всеми элементами инфраструктуры открытых ключей из единого интерфейса.

Avanpost PKI предусматривает возможность управления неограниченным количеством ключевых носителей и сертификатов пользователей. В его составе реализованы такие функции, как управление электронными сертификатами, управление информацией о токенах и централизованной базой с информацией о токенах, ведение поэкземплярного учета средств криптографической защиты информации, автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение различных журналов событий.

• централизованное управление электронными сертификатами пользователей в течение всего жизненного цикла (инициализация / выпуск сертификата, ввод в эксплуатацию / выдача, обслуживание, вывод из эксплуатации / блокирование);
• поддержка работы со всеми распространенными в России моделями ключевых носителей: токенов, смарт-карт, биометрических считывателей (eToken, Rutoken, JaCarta, ISBC, MS_Key, BioLink и др.);
• инициализация ключевых носителей;
• учет (инвентаризация) электронных ключей с хранением данных о них в базе данных (идентификация ключей производится по серийному номеру, уникальному для каждого ключа);
• создание дубликатов испорченных ключевых носителей;
• ведение журналов событий, в которых фиксируются все действия администраторов и операторов подсистемы с электронными ключами;
• автоматизация процесса выпуска сертификатов пользователей на этапе назначения электронных ключей пользователям;
• ведение учета лицензий на средства криптографической защиты информации;
• ведение учета дистрибутивов средств криптографической защиты информации;
• создание отчетов о выпущенных электронных сертификатах, о запросах на генерацию электронных сертификатов и о закрепленных за сотрудниками и организациями ключевых носителях;
• запрос прав на доступ к приложениям, находящимся в централизованной сети (для автоматической синхронизации пользователю его связки логин-пароль);
• интеграция в единый комплекс прикладных систем, таких как CRM, системы Банк-Клиент, кадровые системы и удостоверяющие центры;
• поддержка следующих удостоверяющих центров: КриптоПро, Microsoft, RSA Keon, Signal-COM, CheckPoint, Валидата;
• имеет сертификат соответствия ФСТЭК России (сертификат ФСТЭК № 2710 от 07.09.2012 до 07.09.2018 на соответствие ТУ и 4 уровню РД НДВ).

Подробнее с продуктом Avanpost PKI можно ознакомиться здесь
.

«Аладдин Р. Д.»

Компанией «Аладдин Р. Д.» на рынке представлена система управления ключевыми носителями и цифровыми сертификатами JaCarta Management System.  На момент написания статьи единственная система управления, включенная в реестр отечественного ПО и рекомендованная для внедрения в государственных и муниципальных учреждениях.

JaCarta Management System (JMS) — система управления, полноценно поддерживающая новое поколение средств аутентификации и электронной подписи JaCarta, а также смарт-карты и токены SafeNet eToken (в т. ч. модели ГОСТ). Система автоматизирует типовые операции при работе с токенами, позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении средств аутентификации и электронной подписи. J MS дополнительно обеспечивает соблюдение требований российского законодательства в части учета средств криптографической защиты информации.

Подробнее с продуктом JaCarta Management System можно ознакомиться здесь
.

Indeed ID

Компанией Indeed ID на рынке представлена система управления ключевыми носителями и цифровыми сертификатами пользователей Indeed Card Management.

Indeed Card Management обеспечивает решение задач, связанных с применением инфраструктуры открытых ключей в масштабах предприятия. В рамках представленной системы поддерживаются различные смарт-карты и удостоверяющие центры (в том числе поддерживающие ГОСТ-шифрование).

Подробнее о продукте Indeed Card Management можно прочитать здесь
(также с детальным описанием продукта можно ознакомиться в статье «Обзор Indeed Card Management»
).

«Актив»

Компанией «Актив» на рынке представлен Рутокен KeyBox, средство администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств), ориентированный на использование в корпоративных сетях, построенных на технологиях Microsoft Windows. Рутокен KeyBox представляет собой Indeed Card Management, продаваемый под брендом Рутокен.

Рутокен KeyBox позволяет эффективно управлять жизненным циклом ключевых носителей, дает возможность вести журнал и осуществлять аудит действий с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации. Рутокен KeyBox позволяет существенно снижать издержки и повышать уровень комфорта при внедрении PKI.

• автоматизированное управление процессами жизненного цикла ключевых носителей;
• поддержка различных ключевых носителей ( Рутокен S
  , Рутокен ЭЦП
  , Рутокен Lite
  , Kaztoken
  , SafeNet eToken, Avest);
• управление жизненным циклом сертификатов пользователей;
• учет СКЗИ в соответствии с требованиями регулятора;
• поддержка отечественных криптопровайдеров;
• выпуск сертификатов на удостоверяющих центрах Microsoft CA , КриптоПро УЦ 1.5 и КриптоПро УЦ 2.0;
• выпуск сертификатов в нескольких центрах сертификации (удостоверяющих центрах);
• печать на смарт-картах необходимой информации и изображений;
• пакетный выпуск смарт-карт и токенов;
• журналирование событий в системе и построение отчетов с использованием различных критериев отбора событий;
• аудит событий с ключевыми носителями на основе журналов;
• сервис самообслуживания с настраиваемым списком разрешений для пользователя;
• доступ к пользовательскому сервису самообслуживания из любой точки мира;
• простота взаимодействия конечного пользователя с системой через лаконичный и понятный интерфейс;
• интеграция с другими системами управления информационной безопасностью через API.

 Подробнее с продуктом Рутокен KeyBox можно ознакомиться здесь
.

Gemalto (SafeNet)

Компанией Gemalto на рынке представлено программное решение для управления инфраструктурой аутентификации в масштабах предприятия SafeNet Authentication Manager (SAM).

SAM представляет собой комплексную платформу, позволяющую организациям управлять полным жизненным циклом аутентификации на всем предприятии и реализовывать строгую аутентификацию в облаке на основе единой интегрированной системы. В его функционал также входит управление ключевыми носителями и цифровыми сертификатами.

• поэкземплярный учет и регистрация всех аппаратных и программных средств аутентификации и хранения ключевой информации, используемых сотрудниками;
• ускорение ввода в эксплуатацию электронных ключей и смарт-карт, автоматизация процессов выдачи eToken сотруднику, персонализация eToken, запись ключевой информации и аутентификационных данных в память eToken;
• поддержка всех типов и моделей смарт-карт и электронных ключей eToken
  , включая гибридные ключи eToken NG-OTP (электронный ключ + генератор одноразовых паролей на одном устройстве, NG-FLASH и eToken 7300 с Flash-памятью);
• управление жизненным циклом средств аутентификации и хранения ключевой информации;
• поддержка работы с удостоверяющими центрами Microsoft CA (2003/2008/2012), RSA Keon, КриптоПро УЦ;
• аудит использования сотрудником выданного ему средства аутентификации и хранения ключевой информации (фиксируются все факты использования устройства сотрудником на компьютере предприятия, изменения данных, хранящихся в памяти устройства);
• подготовка отчетов для руководителей служб ИТ и ИБ об использовании сотрудниками средств аутентификации и хранения ключевой информации (на основе данных аудита средствами встроенного генератора отчетов, также имеется возможность экспорта данных во внешние средства построения отчетов);
• техническая поддержка и сопровождение пользователей средств аутентификации через сайт: переустановка забытого пользователем пароля, синхронизация генератора одноразовых паролей, обработка типовых ситуаций «пользователь забыл eToken», «пользователь потерял eToken», «пользователь повредил/сломал eToken»;
• виртуальный токен — уникальное программное решение, позволяющее пользователю, находящемуся вне офиса, даже в случае утери или повреждения eToken продолжить работу с компьютером или получить безопасный доступ к ресурсам без снижения уровня защищенности;
• имеет сертификат соответствия ФСТЭК России (сертификат ФСТЭК № 2769 от 03.12.2012 до 03.12.2018 на ТУ и 4 РД НДВ с ограничениями).

Подробнее с продуктом SafeNet Authentication Manager (SAM) можно ознакомиться здесь
.

HID Global

Компанией HID Global на рынке представлена система управления смарт-картами и смарт-токенами ActivID CMS.

ActivID CMS представляет собой комплексное, гибкое и высококонфигурируемое решение для управления выпуском и администрирования смарт-карт. Система управления картами ActivID позволяет предприятиям легко и безопасно управлять используемыми смарт-картами и USB-токенами. Предприятия, использующие систему управления картами ActivID Credential Management System (CMS), имеют возможность безопасно включать сертификаты PKI и другие средства идентификации в различные устройства, в том числе смарт-карты, токены и мобильные телефоны. Данное решение можно масштабировать, тем самым увеличивая количество обслуживаемых средств идентификации (несколько миллионов штук), используемых в распределенных сложных системах, включающих множество групп пользователей.

• возможность выпуска и управления смарт-картами, используемыми для широкого спектра офисных приложений, обеспечения безопасности сети и для приложений, повышающих эффективность работы;
• возможность использования для организации контроля логического и физического доступа;
• управление устройствами аутентификации (смарт-картами, USB-смарт-токенами и т. д.), данными (статическими паролями, биометрическими и демографическими данными), программными компонентами (программами генерации одноразовых паролей и программами идентификации личности — Personal Identity Verification (PIV)) и цифровыми идентификаторами (в том числе сертификатами PKI);
• взаимодействие с широким спектром сред, включая операционные системы, каталоги, клиентские и серверные системы управления идентификаторами, центры сертификатов и системы контроля физического доступа;
• комплексная защищенная система аудиторского контроля, фиксирующая все события и отражающая их в отчетах;
• защищенный прозрачный метод передачи засекреченных данных, записанных на смарт-карты или USB-токены, подсоединенные к пользовательской рабочей станции;
• ролевая система управления через веб-портал по преднастроенным административным ролям с возможностью дальнейшего детального распределения полномочий;
• встроенный механизм интеграции с большим количеством систем смежной инфраструктуры (LDAP, CA и т. п.);
• интеграция с PKI-клиентом ActivID ActivClient для автоматизированного обслуживания смарт-карт на клиентских системах и станциях самообслуживания (киоски);
• поддержка стороннего клиентского ПО и смарт-карт через стандартный протокол PKCS#11 (например, SafeNet eToken, E-Smart);
• SDK для интеграции через API со сторонними системами управления учетными данными (IDM, СКУД) и кастомизации выпуска смарт-карт.

Подробнее с продуктом ActivID CMS можно ознакомиться здесь
.

Автоматизируем учёт электронных подписей

Я думаю, каждый системный администратор задавался вопросом автоматизации учёта  электронных подписей
 в своей организации. Потому что вопросы  «Какие у нас есть электронные подписи?»
,  «На каких компьютерах они установлены?»
,  «Когда они заканчиваются?»
 и т.д. возникают регулярно.

Иногда на них отвечает юридический отдел, иногда их адресуют нам, системным администраторам. А кто в вашей организации ведёт учёт электронных подписей? Расскажите об этом в комментариях, будет интересно почитать.

Начнём с постановки  задачи
. Здесь, лучше всего, задачу разбить на  подзадачи
. И для каждой подзадачи использовать какой-то  универсальный
 инструмент. Хорошо бы уже кем-то созданный, но если такого инструмента нету, то можно и самому попрограммировать. Когда дело доходит до программирования, я стараюсь смотреть на задачу шире. И программируя, делаю инструмент универсальнее, чтобы потом его можно было применить и для других схожих задач. Как говориться  «универсальное празднует победу над любым частным»
. И так, наши задачи:

1. Нам нужен инструмент, который будет доставлять наш код (скрипт) на компьютер, исполнять его и возвращать результат его работы обратно. Результатом работы может быть просто  код возврата
   , но в нашем случае результатом будут файлы сертификатов. Т.к. лучше забирать открытые части электронных подписей (сертификаты) целиком и потом с ними работать.

2. Нам нужно приложение (скрипт), которое будет из указанных сертификатов получать нужную нам информацию.

3. И вероятно нам потребуется третий инструмент, который будет агрегировать эту полученную информацию в таблицу, с которой более удобно работать.

Приступим к реализации поставленных задач.

Выполнение кода на удалённых компьютерах

К счастью, эта задача весьма распространённая. И существует множество инструментов для решения такой задачи. Я расскажу о тех, которые мне нравятся больше всего. А вы напишите о своих любимых инструментах, которые решают такие задачи, в комментариях.

1. Logon скрипт в Group Policy Object

В  групповых политиках
 (GPO)  Active Directory
 есть возможность указать скрипт, который будет срабатывать при входе, выходе пользователя или при включении, выключении компьютера. В нашем случае подойдёт событие  входа пользователя
.

• Выполняется по событию, т.е. как бы параллельно на нескольких компьютерах.

• Сразу в нужном контексте, в контексте пользователя с сертификатами.

• Нельзя выполнить скрипт по желанию, нужно ждать наступления события.

• Нужно тонко настраивать права на папку с результатами работы скрипта.

• Если компьютер на удалёнке, то можно никогда не получить результат.

2. Инсталляционный пакет в Kaspersky Security Center

Если у вас используется  Kaspersky Security Center
, то вы можете в нём создать  инсталляционный пакет
. В него вложить свой скрипт и выполнить его на нужной выборке компьютеров.

• Выполняется параллельно на нескольких компьютерах.

• Можно выполнить скрипт по желанию, запустив задачу вручную.

• Удобный и приятный интерфейс.

• Выполняется не в контексте пользователя (об этом чуть позже).

• Нужно самому думать, как собирать результаты выполнения.

3. Командлет Invoke-Command в PowerShell

Можно воспользоваться командлетом  Invoke-Command
 в  PowerShell
, который позволяет выполнить нужный нам код на удалённых компьютерах. В чистом виде командлет  Invoke-Command
 не очень интересен, т.к. он не имеет каких-либо преимуществ над описанными выше вариантами. Но если с ним поработать, сделать обвязку, добавить параллельное исполнение и другие полезные опции, то получается не плохой вариант.

Так собственно и появился скрипт  Invoke-TaskCommand.ps1
, который вы можете найти в моём репозитории на  GitHub
. Скрипт выполняет команду  -Command
 на списке удалённых компьютеров  -ComputerName
 в контексте заданной учётной записи  -AccountSID
. При этом скрипт может доставить на удалённый компьютер вспомогательные файлы из папки  -InputPath
 и вернуть обратно в другую папку  -OutputPath
 файлы, как результат работы команды. Так же есть  WMI
 фильтры  -IncludeWQL
 и  -ExcludeWQL
, в которых можно написать  WQL
 запросы. С помощью них можно гибко исключать не нужные нам компьютеры из списка и не делать лишнюю работу по доставке вспомогательных файлов на эти компьютеры. В скрипте задействован  PowerShell
 модуль  ThreadJob
 что распараллеливает обход компьютеров в  16 потоков
. И благодаря этому пробежка по  1000 компьютеров
 занимает не  1,5 часа
, а  15
 —  20 минут
. Нужная нам команда выглядит следующим образом:

   $ComputerNames = Get-Content -Path '..\Data\List\Computer\All.txt' -Encoding 'Unicode';
$Command = 'powershell.exe -Command Get-ChildItem -Path CERT:\CurrentUser\My | ForEach-Object { Export-Certificate -Cert $PSItem -FilePath ($PSItem.Thumbprint + .cer);};';
.\Invoke-TaskCommand.ps1 -TaskName "Export Certificate" -Command $Command -ComputerName $ComputerNames -AccountSID "S-1-5-32-545" -OutputPath $ExportLocation;  
  

Так же стоит упомянуть, что список компьютеров для обхода мы не будем создавать вручную, мы просто выгрузим его из  Active Directory
. В данном случае, я использую другой мой скрипт  env.search.min.js
, про который я рассказывал в другой статье Скрипт так же опубликован на  GitHub
.

   cscript /nologo /u env.search.min.js ldap {ABCD1234-111B-14DC-ABAC-4578F1145541} search= noalign > All.txt  
  

Получение данных из сертификата электронной подписи

И так, мы получили файлы сертификатов, которые аккуратно сложены по папочкам с именами компьютеров. Теперь нам нужно их переименовать в удобный нам вид и получить из них данные. Для этого я написал скрипт  Get-CertificateData.ps1
, который вы то же можете найти в моём репозитории на  GitHub
.

Он принимает на вход  сертификат
 и возвращает на выходе  PSCustomObject
 с наиболее интересными нам атрибутами. Из интересного стоит отметить  OID
 с идентификатором  1.2.643.2.2.49.2
 его присутствие в сертификате означает наличие встроенной лицензии  КриптоПРО
. А чтобы переименовать файл, просто воспользуемся атрибутом  CER-NAME
 возвращаемого объекта, он как раз создан для этой задачи.

   $Certificate = Get-PfxCertificate -FilePath $File.FullName;
$CertificateName = .\Get-CertificateData.ps1 -Certificate $Certificate -DataKey "CER-NAME" -Expanded -FixExpire;
Rename-Item -Path $File.FullName -NewName ($CertificateName + $File.Extension);  
  

Агрегируем информацию из сертификатов в таблицу

В этой задачи ничего сложного нет, мы вообще её выполним одной строкой, просто передавая объекты по  конвейеру
 в  PowerShell
. Сначала получим файлы сертификатов из папок. Затем из них создадим стандартные  PfxCertificate
 объекты. Их направим в наш скрипт  Get-CertificateData.ps1
 и получим  PSCustomObject
 объекты с нашими атрибутами. Их сконвертируем в  CSV
 строки и направим в результирующий файл.

   Get-ChildItem -Path $Folder.FullName -File | Get-PfxCertificate | .\Get-CertificateData.ps1 -DataKey "NET-HOST" -DataValue $ComputerName -FixExpire | ConvertTo-Csv -Delimiter "`t" -UseQuotes "Never" | Out-File -FilePath "Report.csv" -Encoding "Unicode";  
  

Из интересного отмечу командлет  Out-GridView
 в  PowerShell
. Он позволяет достаточно удобно представлять табличные данные в графическом виде. Воспользуемся им для отображения данных.

   Import-Csv -Path "Report.csv" -Encoding "Unicode" -Delimiter "`t" | Out-GridView -Wait -Title "Реестр сертификатов";  
  

Заключение

Как видите, задача автоматизации учёта электронных подписей не такая и сложная. Комбинируя разные скрипты, мы как из кубиков строим решение нужной нам задачи.

Вы можете начать с малого, просто создайте несколько папок, например  Архив
 и  Действующие
. Положите в них файлы сертификатов. Рядом с папками создайте ярлычок  Отчёт
 со следующей командой:

   powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File Show-Certificates.ps1 -Rename  
  

Спасибо за внимание, надеюсь данная статья будет вам полезна. Делитесь своим мнением в комментариях.

   <#
  .DESCRIPTION
  Отображает отчёт по реестру сертификатов.

  .PARAMETER Rename
  Переименовать сертефикаты перед построением отчёта.

  .NOTES
  Версия: 0.1.0
  Автор: @ViPiC
#>

[CmdletBinding()]
Param (
    [switch]$Rename
);

$Items = @();
$Folders = Get-ChildItem -Directory;
foreach ($Folder in $Folders) {
    $Files = Get-ChildItem -Path $Folder.FullName -Filter "*.cer" -File -Recurse;
    foreach ($File in $Files) {
        $Certificate = Get-PfxCertificate -FilePath $File.FullName;
        $Items += .\Get-CertificateData.ps1 -Certificate $Certificate -DataKey "CER-CATEGORY" -DataValue $Folder.BaseName -FixExpire;
        if ($Rename) {
            $CertificateName = .\Get-CertificateData.ps1 -Certificate $Certificate -DataKey "CER-NAME" -Expanded -FixExpire;
            if ($File.BaseName -ne $CertificateName) { Rename-Item -Path $File.FullName -NewName ($CertificateName + $File.Extension); };
        };
    };
};
$Items | Out-GridView -Wait -Title "Реестр электронных подписей";