Introducere

Prezenta secţiune descrie infrastructura şi funcţionalităţile componentei PKI de uz general solicitate pentru implementare in cadrul proiectului. Soluţia propusă se bazează pe cele mai moderne componente tehnologice, produse de lideri mondiali în domeniu precum SafeNet, Microsoft, IBM, NetAPP, CISCO etc. şi este concepută pentru a satisface complet cerinţele prezentate în caietul de sarcini şi în documentaţia de întocmire a ofertelor. Astfel, soluţia oferită asigură următoarele caracteristici şi funcţionalităţi:   Controlul accesului la resursele de reţea şi la staţiile de lucru la nivel de operator şi limitarea privilegiilor prin conturi sau profile de utilizator şi politici de acces Generarea şi stocarea materialului criptografic privat corespondent al cheilor publice din certificate, precum şi a certificatelor digitale în mediul protejat din componentele de tip USB smart-card token oferite. Integrarea subsistemului PKI cu registrul central de resurse LDAP, prin intermediul instanțelor specifice ale verticalei de emitere, validare și gestiune a ciclului de viață al certificatelor de autentificare, și prin replicarea securizată a bazelor de date pentru celelalte componente, astfel ca toţi utilizatorii inregistrati in registrul central de resurse LDAP să aibă posibilitatea de a obţine certificate digitale, fără limitarea numărului de certificate care vor putea fi emise fără costuri suplimentare Criptarea cu cheie publică, aplicarea semnăturii digitale şi autentificarea multifactor a utilizatorilor, precum şi controlul accesului la resursele de date cât şi la echipamentele de procesare a acestora Posibilitatea de criptare şi semnare de mesaje e-mail şi de fişiere, precum şi de acces securizat la pagini şi aplicaţii de tip Web Implementarea tuturor componentelor soluţiei PKI solicitate – respectiv, de tip: autoritate de certificare (CA), autoritate de înregistrare (RA), serviciu de publicare a listelor de revocare a certificatelor digitale (CRL), serviciu OCSP Implementarea fiecărui modul funcţional PKI pe câte o instanţă virtuală de tip server distinctă, precum şi prin utilizarea de echipamente specifice de tip HSM certificate FIPS 140-2 Level 3, pentru toate modulele care operează cu material şi/sau rutine criptografice Emiterea şi gestiunea ciclului de viaţă al cheilor şi certificatelor digitale conform standardelor X.509v3 şi cu interfeţele standardizate PKCS#1, PKCS#7, PKCS#10, PKCS#11 ;i PKCS#12, precum şi interoperabilitatea cu alte soluţii pe baza specificaţiilor GSS-API. Redundanţa completă a soluţiei, implementată pentru fiecare modul funcţional pe un alt echipament server, atât pentru continuitate operaţională cât şi pentru recuperare în caz de dezastru, inclusiv prin utilizarea de media de backup amovibile şi a posibilităţii de stocare offline a acestora, în altă locaţie.

 

Arhitectura soluţiei de infrastructură PKI propuse asigură implementarea următoarelor componente: a) autoritate de certificare rădăcină (off-line); b) autoritate de înregistrare (on-line); c) autoritate (on-line) subordonata de emitere de certificate digitale, pentru toate domeniile de utilizare: pentru autentificare operatori, pentru semnătură digitală, pentru criptarea datelor, pentru sub-sisteme de tip VPN şi asimilate etc.

subordonate de validare a stării certificatelor emise respectiv implementate. după un model propriu aplicabil de arhitectură pentru asigurarea continuităţii operaţionale şi recuperare a stării operaţionale în caz de dezastru sau în situaţii asimilate. fiecare. Offline Online Internet SafeNet Luna SA Internet Fort Fox Data Diode FFDD FFDD Partitie HSM1 HA Root CA Microsoft CA Win2008 R2 Statie emitere si administrare Slave OCSP responder Win2008 R2 Partitie HSM2 Users CRL Certificate client Issuing CA Certificate client Microsoft CA Win2008 R2 Master OCSP responder .d) autoritate (on-line) (OCSP).

aceasta va fi instalată şi va opereze în incintă dedicată amenajată la înalt nivel de securitate.. pentru alinierea cu codurile şi recomandările de bună practică aplicabile. şi acest nivel de autoritate va fi instalată şi va opera în aceeaşi locaţie de înaltă securitate. protejate în normă asimilabilă TEMPEST. Autoritatea Primară de Certificare Rădăcină (Root) care face obiectul acestui proiect este componenta cheie din perspectiva asigurării securităţii tuturor micro-arhitecturilor PKI subordonate solicitate. pentru alinierea cu codurile şi recomandările de bună practică aplicabile.Functionalitate Având în vedere cerinţele operaţionale şi de securitate stringente implicit aplicabile pentru orice proiect PKI în zonă guvernamentală. Arhitectura PKI propusă spre implementare asigura conformitatea cu standardele aplicabile. prin mijloace de tip cuşcă Fraday. prin protecţie de tip cuşcă Faraday. De aceea. la nivel central al sistemului. În plus. POLICY MANAGEMENT Certificate LIFECYCLE MANAGEMENT 2) Managementul policticilor de certificare În egală măsură important în ceea ce priveşte securitatea şi considerat critic din punct de vedere operaţional. inclusiv X. 1) Referinţa primară de trust (Root) O Autoritate primară de certificare (Root) se va implementa la nivelul central al sistemului.509v3 şi GSS-API. prin acestea. De aceea. ea va fi implementată offline. . În plus. ea va fi implementată offline. conform cerinţelor. s-a acordat o atenţie deosebită identificării şi separării principalelor blocuri funcţionale ale sistemului propus. la nivelul Autoritatii de certificare ROOT.. cu componenta rădăcină instalată în incinta dedicată. a limitelor de natura politicilor de securitate relevante respectiv aplicabile emiterii certificatelor digitale în sistemul implementat. Operațiuni OFFLINE ROOT CA Autoritate Certificare ROOT Operațiuni ONLINE Autotitate Certificare POLITICI Issuing CA Root of TRUST Autoritate Certificare (Subordonate) EMITERE . ca premisă a interoperabilităţii. protejată în normă asimilabilă TEMPEST. se impune implementat un nivel intermediar de Autorităţi de mangement al politicilor de certificare pentru a asigura gestionarea modelelor structurale predefinite (template) cât şi.

gestionează interfaţa client a soluţiei de management a certificatelor pe tot ciclul de viaţă al identităţii digitale a utilizatorului şi interoperează cu CA şi. respectiv în secţiuni X500/LDAP distincte (respectiv pentru tipurile . Soluţia oferită include licenţe software PKI care asigură: a) semnare (utilizand metode de cifru asimetric si verificare cu certificate digitale PKI X. interoperază cu KRM pentru arhivare şi recuperare de chei. cu controlul posibilităţii şi ordinii de semnare.509v3. componentele hardware (de tip smart-card token) şi software (client OCSP şi middleware PKI specific integrat) instalate permit autentificare şi autorizare multifactor securizată la nivelul staţiei de lucru. precum şi utilizarea exclusivă a echipamentelor hardware specializate (HSM) ca furnizori de servicii criptografice (CSP) pentru procesare. Autorităţile de înregistrare (RA). “Semnezi ceea ce Autoritatea de înregistrare (RA) primeste cererile de enrollment şi le procesează spre aprobare de către operatori specializaţi (administratorii solutiei PKI). este necesară implementarea online a principalelor funcţionalităţi subordonate: Autorităţile de emitere a certificatelor digitale (CA). c) adăugarea de marcă temporală fişierelor semnate şi verificarea validităţii certificatelor atat pe baza de CRL-uri. Autoritatea de certificare (CA) este principala componentă funcţională implementată în soluţia de management a certificatelor oferită. pentru verificarea online în timp real a validităţii certificatelor digitale şi care operează în mod transparent pentru aplicaţiile software de pe staţia de lucru. cât şi pe baza protocolului OCSP. Tot la nivel de client. cu controlul accesului pe baza certificatelor digitale PKI x509. asociază cheia publică respectivă cu identitatea utilizatorului prin semnarea certificatului digital şi include extensiile şi politicile de utilizare corespunzătoare acesteia. precum şi utilizarea cheilor private şi a certificatelor digitale pentru semnarea şi criptarea mesajelor e-mail şi a fişierelor. precum şi pentru fişiere în format PDF). b) semnarea fisierelor de către mai mulţi semnatari. Serverele de publicare a certificatelor digitale (CERT/CRL) sunt pricipala bază de date a soluţiei PKI care stochează.3) Managementul ciclului de viaţă al certificatelor digitale La nivel local.v3 corespunzătoare. de tip vezi” sau asimilate. Oferta noastră se bazează pe astfel de echipamente şi tehnologii. Componentele client dintr-un agent de enrollment şi din clientul OCSP pentru soluţia de management a certificatelor. şi controlul accesului prin utilizarea de certificate digitale PKI X. cel puţin pentru algoritm RSA 2048) şi criptarea (prin metode de cifru simetric. Pentru implementările PKI în proiecte guvernamentale este comună practica utilizării de spaţii protejate de instalare şi funcţionare. pentru foldere şi pentru orice tip de fisier (cel putin pentru fişiere de tip MS Ofice Word şi Excel sau suita Office echivalentă. implementat ca plug-in CAPI. verificate şi aprobate pentru emitere de către RA şi (în funcţie de rolul specific în modelul de trei perechi cheie privată – cheie publică/certificat digital pentru fiecare utilizator”) generează perechea potrivită de chei. prin operatiuni de tip click dreapta pe fişier sau asimilate. d) mecanisme asiguratorii pentru semnarea fişierelor. în funcţie de varianta de implementare aleasă. cu modulul KRM.509v3). cel puţin cu algoritm AES 256. precum şi criptarea acestora pentru unul sau mai mulţi destinatari. 4) Blocuri funcţionale majore Structura funcţională a soluţiei PKI propuse se bazează pe cinci tipuri de componente cheie prezentate mai jos. şi care primeste cererile de emitere de certificate. Autorităţile de validare (VA/OCSP) etc.

Astfel: a) pentru instanţele online se vor folosi platforme de tip HSM de reţea de tip SafeNet Luna SA. Foloşte direct autentificare server dar nu necesită autentificare client. implementata ca server OCSP. Serverul OCSP nu utilizează implicit autentificare client server. Este implementat ca serviciu autonom în cadrul PKI şi este utilizat ca portal de acces pentru componentele soluţiei la serviciile serverului CA. Autoritatea de validare (VA). respectiv cu module token HSM distincte pentru autoritatea rădăcină şi pentru autorităţile subordonate offline de management al politicilor de certificare. perechi distincte de echipamente pentru cele două tipuri fundamentale de configurare disponibile (key signing with backup pentru autorităţi de tip CA şi VA/OCSP. de mediul intern protejat de execuţie şi stocare tamper proof şi de procesare securizată a materialului criptografic sensibil. Sub-sistemul intern de servicii criptografice pentru semnare din CMS a fost extins prin utilizarea de module externe HSM cu rol de furnizor de servicii criptografice în implementare hardware. dar protocolul OCSP utilizat permite configurare pentru a răspunde numai la cereri client semnate şi pentru a furniza exclusiv răspunsuri semnate de sever. stocarea şi prelucrarea materialului criptografic sensibil se realizează exclusiv în astfel de componente hardware de securitate (HSM) Safenet Luna SA certificate FIPS 140-2 Level 3 pentru a beneficia de calitatea mult mai bună a generatorului de numere aleatoare. Server pentru publicarea listelor de revocare – atât pentru revocare certificatelor (CRL) cât şi pentru autorităţile de certificare (ARL). partiţionate – cu câte o partiţie pentru fiecare tip/clasă de componentă a CMS care necesită astfel de servicii.de instanţe şi de certificate). atunci starea returnată se bazează pe listele de revocare publicate de autoritatea relevantă). respectiv key export / SIM pentru autorităţile de tip RA) – şi configurate în perechi redundante de tip cluster activ-activ cu funcţii native de echilibrare a sarcinii de lucru). Pentru certificatele emise de CA-uri locale răspunde cu starea curentă de revocare a certificatului în legătură cu care a primit cererea (dacă cerea se referă la certificate emise de autorităţi externe sistemului PKI local. Server de emitere de certificate digitale – Utilizatorii se conectează la acesta prin interfaţa serverului de enrolment pentru a solicita emiterea certificatelor digitale. Server de enrolment – asigură interfaţa Web pentru cererile de emitere de dertificate digitale şi alte operaţii specifice. atât certificatele digitale emise cât şi listele de revocare a acestora şi permite accesul clienţilor la acestea prin interfaţă LDAP. b) pentru instanţele offline se vor folosi module HSM de tip SafeNet Luna SA. Este interfaţa către bazele de date interne şi foloseşte autentificare reciprocă server – client. Generarea. Foloseşte autentificare reciprocă server – client. în contextul utilizării de politici solide a control al accesului la acesta. asigură legătura dinamică în timp real a aplicaţiilor client la listele şi politicile de revocare a certificatelor în soluţia PKI. Serverul Web intern bazat pe tehnologie Microsoft asigură interfaţa primară a soluţiei PKI cât şi accesul la fiecare dintre cele opt servere virtuale interne: Serverul de administrare – furnizează interfaţa funcţională pentru operatorii CMS cu rol de administrator şi auditor. Server (responder) OCSP – acceptă cereri pe protocol HTTP de la clienţi care implementează OCSP. Nu necesită nici autentificare server şi nici client. Architectura interna 1) Soluţia pentru managementul certificatelor digitale Arhitectura soluţiei pentru managementul certificatelor digitale (CMS) este modulară şi se pretează la implementări distribuite. .

separarea autorizării operatorilor la nivel de sistem de operare. cât şi separarea rolurilor interne la nivel de HSM (cum ar fi acelea de: administrator de politici globale la nivel de HSM. respectiv prin scheme paralele şi independente de tipul quorumului de responsabilitate cu aranjament de tip MofN (cu M>=2) pentru fiecare partiţie în parte. respectiv. precum şi roluri de tip cenzor/auditor pentru aprobarea activităţilor critice asupra oricăror activităţi asupra materialului criptografic iniţiate de administratori. implementat la nivel de HSM şi de partiţie. organizarea rolurilor este strictă şi asigură atât i. va fi asigurată de la nivelul funcţiilor de management al infrastructurii de securitate a platformelor PKI implementate.) în care nu este posibilă asigurarea unui nivel de protecţie echivalent. în scopuri asociate cu asigurarea disponibilităţii operaţionale şi de recuperare a capacităţii operaţionale în caz de dezastru. prin componente smartcard / token hardware dedicate (după iniţializare şi alocare pe un rol specific. pentru fiecare partiţie HSM utilizată online şi. complet distinct de cel de autentificare la nivel de platformă de operare şi/sau de aplicaţie. În acest model.Acest nivel avansat de securitate este posibil. politicile şi privilegiile de acces la resurse (indiferent de nivel) garantate rolurilor administrative în infrastructura generică de sistem şi/sau de aplicaţie nu permit implicit nici o forma de acces direct. Nu în ultimul rând. de cea la nivel de soluţie PKI. în cazul ambelor variante de mai sus. Auditor etc. owner/administrator de conţinut criptografic la nivel de partiţie. ele nu vor fi utilizate pentru nici un alt scop) şi prin dispozitiv dedicat pentru introducerea parolei / PIN care nu expune parola în mediul de operare neprotejat din servere (în cazul serverelor PKI. în scheme de protecţie de tip MofN). soluţia utilizează separaţie strictă de contexte pentru rolurile administrative definite: Crypto Officer. Windows 2008 Server etc. care este cel puţin ne-recomandată în măsura în care este considerată o cale de ocolire efectivă a segregării celor două domenii administrative. automat şi nici prin escaladare. Astfel. cu precădere la nivelul partiţiilor interne ale platformelor HSM. unde se generează şi se prelucrează chei în clar private şi asimilate. prin replicarea securizată hardware la hardware. Limitarea asocierii rolurilor adminstrative de management al infrastructurii de securitate cu identităţi altfel asociate cu roluri de management al infrastructurii generice de sistem şi/sau de aplicaţie. la pârghiile interne de management al infrastructurii de securitate. . Pe de altă parte. prin mecanismele descrise mai sus. datorită utilizării mecanismului de autentificare multi-factor a operatorilor. pentru fiecare token HSM utilizat offline sunt incluse în ofertă şi vor asigura replici de disponibilitate şi de recuperare a capacităţii operaţionale în caz de dezastru. şi asigură separarea tuturor acestora de contextul de identificare şi autorizate la nivel de sistem de operare server sau platformă de staţie de lucru. ii. Crypto User. rol de control la nivel de domeniu/sub-domeniu PKI pentru replicarea securizată a conţinutului criptografic strict în interiorul domeniului de securitate.

OCSP. S-au prevăzut un total de 4 servere fizice. Politica de acces va fi seaparata in cel putin doua contexte de securitate: administratori si utilizatori obisnuiti. precum şi controlul accesului la resurse. şi se activează automat pe un alt echipament server fizic. conform legislaţiei în vigoare – Legea 677/2001. Spre deosebire de abordările tradiţionale de tip cluster pe instanţă dependentă de viabilitatea sub-sistemului hardware pe care rulează aplicaţiile. în care fiecare bloc funcţional al soluţiei PKI – CA. mai ales. atât la nivel logic-funcţional (prin virtualizare şi decuplarea nivelulu logic de aplicaţie de cel fizic) cât şi la nivel fizic (prin echiparea locaţiilor cu resurse hardware redundante). defectarea concurentă a oricărui server din acelaşi set nu este de natură a duce la indisponibilitatea unui bloc funcţional al arhitecturii PKI locale şi nici failover imediat către site-ul de rezervă corespunzător. câte unul pentru fiecare partiţie arhivată. în funcţie de necesităţile privind extinderea şi dezvoltarea aplicaţiilor din sistem. RA. care operează pe un server. necesare efectuării de modificări asupra operaţiilor de administrare şi dezvoltarii ulterioare. iar redistribuirea va fi asigurată transparent de către componenta client (runtime) de conectare la HSM/partiţie. respectiv redundante pentru fiecare instalare PKI local independentă (2 servere pentru incinta dedicată serverului autoritate rădăcină. Avantajele solutiei Funcţionalităţile implementate de acest proiect acoperă o paletă largă de beneficii la nivelul sistemului implementat: a) Va asigura metodologia. Pentru o recuperare funcţională în situaţie de dezastru. în cazul activării mecanismului de failover fiecare funcţionalitate rezidentă la nivelul oricărei instanţe virtuale. b) Va asigura ansamblul de proceduri prin care se va asigura managementul securităţii generale a sistemului. măsurile şi procedurile specifice. În plus. Configuraţia propusă include atât licenţierea cât şi dispozitivele de backup necesare. şi 2 pentru locaţia centrala operaţionala online). Politicile de acces se vor aplica atat la nivelul accesului in consolele proprietare de administrare disponibile la nivelul fiecarui tip de echipament in parte. d) Accesul in sistem se va asigura prin folosirea unor metode de autentificare multi-factor (autentificare bazata pe certificat X509v3 stocat in mediu de tip smart-card sau etoken). a copiilor de siguranţă ale partiţiilor HSM corespunzătoare. un mecanism special de securitate este utilizat pentru replicarea în hardware pe dispozitive amovibile dedicate tamper proof/tamper responsive de tip Luna HSM backup token. cat si la nivelul platformelor de management. precum şi serverele de publicare a certificatelor şi listelor de revocare a acestora – este deservit de o instanţă primară. este propus un model a tip N+1. designul propus asigură posibilitatea arhivării securizate off-line şi/sau în altă locaţie atât a imaginilor sistem ale instanţelor funcţionale replică cât şi. şi este implementat în consecinţă. . c) Solutia ofertata va asigura protecţia datelor cu caracter personal.2) Modelul intern de redundanţă completă Modelul intern de redundanţă completă al sistemului propus este dezvoltat pentru a satisface cele mai stringente cerinţe de securitate şi de disponibilitate. Având în vedere sensibilitatea deosebită a materialului criptografic care este stocat în partiţiile HSM. rutina de aplicaţie activă va continua în mod transparent să acceseze partiţia HSM pe canal securizat NTLS / SSL. iar replica sa este sincronizată şi disponibilă în standby pentru failover. cu capabilitate de operare în mod activ-activ. asigurarea integrităţii şi autenticităţii informaţiei. Pentru continuitate operaţională. respectiv pentru fiecare bloc funcţional.

criptat şi în baza unei autentificări prealabile. g) Suportul criptografic pentru: . 4. protecţia integrităţii şi confidenţialităţii datelor.e) va implementa o politică optimă şi sigură de gestiune a utilizatorilor şi a activităţilor desfăşurate în sistem. respectiv recepţia datelor se va putea realiza in conditii de confidentialitate maxima. spre exemplu utilizind protocolul SSL. 1. 2. certificarea autenticităţii şi integrităţii documentelor şi tranzacţiilor la nivelul sistemului. f) Atunci când situaţia o cere. care va asigura si criptarea mesajelor electronice schimbate. partajarea controlată a accesului la informaţie pe baza principiului nevoii de a cunoaşte. 3. protecţia confidenţialităţii şi respectarea naturii private a informaţiei procesate. transmisia.