Выпущена новая версия (3.1) криптографической библиотеки Message-PRO 3.1, в которой реализована поддержка ключевых носителей (токенов) с неизвлекаемыми USB-ключами - MS_Key, производства компании Мультисофт.
Использование MS_Key с неизвлекаемыми секретными ключами ЭЦП в криптографических системах, построенных на базе библиотеки Message-PRO 3.1 делает их неуязвимыми в отношении хакерских атак, нацеленных на похищение секретных ключей пользователей из памяти компьютера, куда они считываются с традиционно используемых съемных ключевых носителей перед выполнением криптографических операций, либо путем копирования ключевого носителя.
Интерфейс подключения USB-ключа MS_Key к библиотеке Message-PRO 3.1 - PKCS#11.
При использовании MS_Key формирование ЭЦП под электронным документом выполняется в два этапа: на вход USB-ключа передается хеш-функция от документа, вычисляемая средствами СКЗИ «Крипто-КОМ 3.2» из состава библиотеки Message-PRO 3.1, а на выходе получаем ЭЦП, сформированную на «борту» MS_Key с использованием неизвлекаемого секретного ключа.
Особенности применения библиотеки Message-PRO 3.1
При использовании токенов MS_Key сертификат открытого ключа не может использоваться для шифрования сообщений (в MS_Key к настоящему моменту не реализована процедура ключевого обмена), поскольку это может привести к потере зашифрованных данных. Это ограничение накладывает дополнительные требования по выпуску сертификатов Удостоверяющими центрами для работы с библиотекой Message-PRO 3.1, в которой введена проверка области назначения ключа – расширения Key Usage
Проверка области назначения ключа выполняется по следующему алгоритму:
- если расширение Key Usage отсутствует, сертификат может использоваться для выполнения любых действий – и подписи, и шифрования;
- если расширение Key Usage присутствует, выполняется проверка состояния битов keyEncipherment и keyAgreement. Если отмечен любой из них - сертификат может быть использован для шифрования; если не отмечен ни один - шифрование выполняться не будет.
При формировании запросов на выпуск сертификатов библиотека Message-PRO 3.1 анализирует тип ключевого носителя и включает в него нужную область назначения, которая должна быть обработана Удостоверяющим центром при выпуске сертификата.
Таким образом, перед переходом на новую версию библиотеки Message-PRO 3.1 необходимо проверить назначение ключей в сертификатах, выпущенных Удостоверяющим центром для пользователей информационной системы, и, в случае необходимости, привести их в соответствие с новыми требованиями (перевыпустить сертификаты).
Первоисточник:
http://www.signal-com.ru/ru/news/news_529/index.php
