Сопровождение сетевых ключей на АП

19.07.11 | Раздел публикации: Сбербанк России

Сетевые ключи АП

Сопровождение сетевых ключей.

Сопровождение сетевых ключей на АП производится с помощью программы сопровождения ключевой информации CRY_MNGR.EXE.

Запустить программу сопровождения ключевой информации.

В случае,  если средства шифрования не были инициализированы перед запуском программы,   системой   выдается   сообщение "Шифратор не найден" и программа завершает работу.

После  запуска  программы на  экране высвечивается "Главное меню" программы. Перемещаясь по меню, выбрать пункт меню - "Сетевые ключи".

Системой  осуществляется переход в подменю "Работа с сетевыми ключами". В  данном  режиме производится установка сетевых ключей на жесткий диск ПЭВМ  АП, удаление, а также перешифрование сетевых ключей в случае смены главного ключа АП.

Установка ключей связи на АП

Сетевые ключи  связи  передаются  на  АП из ЦГРКБ на ключевой дискете в виде двух файлов:

            KLxxxxx.KEY   и   KLxxxxx.NKL,

где xxxxx - криптографический  номер  АП  (порядковый  номер ключа), определенный ему ЦГРКБ.

Для обеспечения    функционирования     средств     защиты передаваемых   данных   полученные  из  ЦГРКБ  ключи  должны  быть зашифрованы на главном  ключе  АП  -  установлены  на  АП.  После зашифрования ключи записываются на жесткий диск ПЭВМ.

Установка сетевых ключей производится следующим образом.

  1. Задать  наименование ключей.  Выбрать опцию "Наименование ключей",   в   появившемся   окне   курсором   задать   требуемое наименование (первые буквы в именах файлов с ключами на ключевой дискете - KL) и нажать клавишу ENTER.
  2. Задать  криптографический  (порядковый)  номер  АП,  т.е. номер,  указанный в имени файла с ключами. Выбрать функцию "Номер узла".  В  появившемся  на  экране  дисплея  окне "Введите число" ввести заданный номер.
  3. Задать устройство, в которое будет установлена полученная из ЦГРКБ  транспортная  дискета  с  сетевыми ключами.  Выбрать функцию "Устройство с ключами".  После появления на экране дисплея окна с надписью  "Устройство"  выбрать дисковод (А:  или В:),  в который будет установлен ключевой диск. Нажать клавишу ENTER.
  4. Задать раздел,  в который необходимо после преобразования записать  файл  с  сетевыми  ключами.  Выбрать  функцию "Раздел с сетевыми ключами", в появившемся окне набрать полное имя раздела:

            <диск>:<раздел АРМ “Клиент”>\BASE.

Например,

            C:\CLIENT\BASE.

  1. Выбрать  функцию  "Установить  сетевые  ключи".   Система сделает  запрос "Установите ГМД с сетевыми ключами в дисковод X:. Нажмите любую клавишу".  Вставить дискету с полученными  сетевыми ключами в дисковод А:  или В:,  согласно указанному устройству, и нажать произвольную клавишу.  Если был установлен ключевой ГМД  и все   параметры   сетевых   ключей   заданы   правильно,  система высвечивает в окне имя файла с ключами  и  делает  дополнительный запрос на их установку. Для отказа от установки выбрать "Нет" или нажать клавишу Esc.  При отсутствии ключей на  ГМД  или  неточном задании их наименования система выдаст сообщение "Kлючи заданного наименования не найдены".  В  этом  случае  необходимо  проверить установку требуемой ключевой дискеты и соответствие ее содержимого заданным параметрам и повторить процедуру.

При корректном  выполнении  вышеуказанных действий система осуществляет  установку  ключей  на   АП.   Зашифрование   ключей связи на главном ключе АП и их копирование в заданную директорию производится автоматически. При этом на жесткий диск записывается только файл KLxxxxx.NKL.

В ходе установки ключей автоматически проводится проверка их целостности.   При   обнаружении   системой   ошибок  в  ключевой информации  выдается  одно  из  сообщений  "Неправильный   ключ", "Некорректный сетевой ключ" или "Ошибка в сетевом ключе".  В этом случае  процедуру  необходимо  повторить.  Неоднократная   выдача системой  данных сообщений свидетельствует об искажении ключей на дискете. При выявлении такой ситуации необходимо обратиться в ЦГРКБ за получением новой копии ключевой дискеты.

При нормальном прохождении контроля ключевой информации,  ее зашифровании и записи на жесткий диск АП выдается сообщение:

            "Ключи установлены!"

  1. Для выхода в главное меню нажмите клавишу Esc.

Перешифрование ключей на новый главный ключ.

При периодической плановой смене главного ключа АП для обеспечения дальнейшего нормального функционирования средств защиты используемая на АП ключевая информация должна  быть перешифрована на новом главном ключе. Данная процедура  может  выполняться  как непосредственно после генерации нового главного ключа  (без перезагрузки программы), так и в другие сеансы работы с  системой. До окончания перешифрования используемых ключей старый  главный ключ не должен быть уничтожен, в противном случае  перешифрование ключевой информации будет невозможно.

Сразу после окончания перешифрования ключей  старый  главный ключ  подлежит  незамедлительному  уничтожению  в  соответствии с разделом 3.1.1 настоящей Инструкции.

Если все же старый главный ключ  был  удален  до  проведения перешифрования сетевых  ключей, для обеспечения функционирования средств защиты сетевые ключи могут быть заново установлены с исходной транспортной дискеты, полученной из ЦГРКБ.

Перешифрование ключей осуществляется следующим образом.

  1. Аналогично п. 4.1.1.1 задать  наименование  ключей.
  2. В качестве номера узла задать номер,  определенный Вашему АП  ЦГРКБ  (указанный  в имени файла с сетевыми ключами).  Выбрать функцию "Номер  узла".  В  появившемся  на  экране  дисплея  окне "Введите число" ввести заданный номер.
  3. Задать раздел,  в котором хранятся сетевые ключи. Выбрать функцию  "Раздел с сетевыми ключами",  в появившемся окне набрать полное имя раздела:

            <диск>:<раздел АРМ “Клиент”>\BASE.

Например,

            C:\CLIENT\BASE.

  1. Задать устройство,  в которое будет установлена дискета с новым  и  старым главными ключами.  Выбрать функцию "Устройство с ключами".  После появления на  экране  дисплея  окна  с  надписью "Устройство"  выбрать  дисковод  (А:  или  В:),  в  который будет установлен ключевой диск. Нажать клавишу ENTER.
  2. Выбрать  функцию  "Перешифровать  ключи  на  новый   GK". Система  сделает  запрос  "Установите  ГМД  с  Главным  Ключом  в дисковод X:.  Нажмите любую клавишу".  Вставить дискету с главным ключом   в   дисковод  и  нажать  произвольную  клавишу.  Система осуществляет  считывание  в  зависимости  от  времени  проведения перешифрования  старого  или нового главного ключа и проводит его проверку.  Если главный ключ закрыт паролем,  то  система  делает запрос  на  его ввод - "Пароль Старого GK" или "Пароль Нового GK" соответственно. В случае ошибок  при  считывании  главного  ключа система выдает соответствующие сообщения.

После корректного ввода главного ключа, система отображает в окне  имя  ключевого  файла  и  делает  дополнительный  запрос на проведение с ним операции -  "Перешифровать  ?".  Для  отказа  от перешифрования   выбрать   "Нет"  или  нажать  клавишу  Esc.  При отсутствии ключей в заданном  разделе  или  неточном  задании  их наименования система выдаст сообщение "Kлючи не найдены". Процесс перешифрования ключевой  информации  отображается  в окне "Перешифрование -".

При выдаче  системой сообщений о  выявлении ошибок при перешифровании ключевой  информации  -  "Ошибка  в  сетевом  ключе",  "Ошибка  в структуре  ключа",  "Некорректная  IP  ключа !" и др.,  процедуру следует  повторить.  Неоднократное  появление  данных   сообщений свидетельствует  о искажении ключей.  В этом случае сетевые ключи следует  установить  заново  с  исходной  ключевой  дискеты, полученной из ЦГРКБ.

  1. Для выхода в главное меню нажмите клавишу Esc.

Удаление выведенного из действия ключа

Удаление производится в случае  компрометации  сетевых  ключей абонента для исключения возможности  работы  на  скомпрометированных ключах и приема информации, навязываемой  от  имени  данного абонента, а также в случае плановой смены сетевых ключей.

При выводе из действия сетевых  ключей АП полученная из ЦГРКБ транспортная дискета с сетевыми ключами подлежит обязательному двукратному форматированию.

Удаление ключей осуществляется следующим образом.

  1. Аналогично п. 4.1.1.1 задать  наименование  ключей.
  2. В качестве номера узла задать криптографический номер АП, сетевые  ключи  которого  подлежат  выводу  из действия.  Выбрать функцию "Номер  узла".  В  появившемся  на  экране  дисплея  окне "Введите число" ввести требуемый номер.
  3. Задать раздел,  в котором хранятся сетевые ключи. Выбрать функцию  "Раздел с сетевыми ключами",  в появившемся окне набрать полное имя раздела.
  4. Выбрать функцию "Удалить сетевой  ключ  заданного  узла". Система отображает в окне "Удаляется из " имя  файла  с  сетевыми ключами, из которого будет производиться удаление и делает дополнительный запрос на проведение с ним операции -  "Удалить ?". Для отказа от удаления выбрать "Нет" или нажать клавишу Esc.  При отсутствии ключей в заданном разделе или неточном задании их наименования система выдаст сообщение "Kлючи не найдены".

При задании  номера  узла,  с  которым  АП  не  осуществляет взаимодействие, системой выдается предупреждение "Ключи заданного узла не существуют".

При задании  в качестве номера узла номера центрального АП - 1,   или   собственного   криптографического    номера    (номера собственного   ключа),   система  выдает  предупреждение  "Полное удаление ключей данного наименования!".  При этом  ключевой  файл удаляется полностью.

При успешном выполнении удаления ключа выдается сообщение:

            "Ключ  удален!"

  1. Для выхода в главное меню нажмите клавишу Esc.

Плановая смена сетевых ключей

ЦГРКБ должна быть своевременно    подготовлена очередная   серия  ключевых  дискет в    установленном    порядке.  Плановая    смена ключей    должна   производиться  по инициативе ЦГРКБ не реже одного раза в год.

ЦГРКБ должен  известить своих абонентов о сроках получения и ввода   в действие  новых ключевых документов.

Сетевые ключи генерируются и распределяются ЦГРКБ. В журнале учета производится соответствующая отметка о генерации и установке ключей с указанием абонента. ЦГРКБ должен также  вести учет соответствия условных  номеров ключей и адресов абонентов  в сети связи.

После  получения  и введения в действие новых  ключевых документов старые   ключи  уничтожаются.

Выводимая  из  действия  ключевая  информация  на  магнитных носителях   должна  уничтожаться  с  использованием  специализированного программного обеспечения в соответствии с п. 4.1.3 настоящей Инструкции, после  чего  носители  подвергаются  двойному переформатированию.

Компрометация сетевых ключей

Под компрометацией ключевых носителей понимается их утрата,   копирование, а также случаи, когда  нельзя достоверно установить,   что произошло с магнитными носителями, содержащими  ключевую информацию.

Компрометация сетевых ключей АП происходит в случае компрометации главного ключа АП и в случае компрометации транспортной ключевой дискеты с сетевыми ключами, полученной из ЦГРКБ.

Компрометация сетевого ключа Клиента

При компрометации дискеты с конфиденциальным главным  или транспортной дискеты с сетевым ключом Администратор АП немедленно ставит в известность Администратора ЦГРКБ о факте компрометации и предпринимает следующие действия:

  1. Уничтожает сетевой ключ на жестком диске и на транспортной ключевой дискете в соответствии с п. 4.1.3  настоящей Инструкции. Работа на АП до установки новых сетевых ключей запрещается.
  2. Дискета подлежит двойному переформатированию.
  3. После получения из ЦГРКБ новой ключевой дискеты устанавливает на жесткий диск ПЭВМ АП сетевой ключ.

Компрометация сетевых ключей Банка

При получении уведомления от Администратора банковского АП о компрометации сетевых ключей Банка Администратор АП немедленно предпринимает следующие действия:

  1. Уничтожает сетевой ключ на жестком диске и на транспортной ключевой дискете в соответствии с п. 4.1.3  настоящей Инструкции. Работа на АП до установки новых сетевых ключей запрещается.
  2. Транспортная ключевая дискета подлежит двойному переформатированию.
  3. После получения из ЦГРКБ новой транспортной дискеты устанавливает на жесткий диск ПЭВМ АП сетевой ключ в соответствии с п. 4.1.1  настоящей Инструкции.
info В обработку принимаются вопросы только по Корпоративному ПО и компьютерной технике для использования в организациях. Отправить запрос
info Техподдержка для Домашних пользователей (персональные версии программ, компьютер, ноутбук, принтер, сканер, монитор) производится Службами поддержки Производителей