Comarch PKI

Comarch PKI to pakiet oprogramowania służącego do weryfikacji i składania podpisu elektronicznego. Dzięki podpisowi elektronicznemu odbiorca ma zagwarantowaną autentyczność nadawcy, ochronę integralności danych, a także zabiezpieczenie przed nieuprawnionym odczytem informacji. Natomiast nadawca może zaszyfrować wiadomość kluczem publicznym odbiorcy tak, aby tylko adresat był w stanie odczytać szyfrogram.

Comarch PKI

Comarch PKI Centrum Certyfikacji (Comarch PKI CA)

Comarch PKI CA to oprogramowanie służące do zarządzania certyfikatami przez cały cykl ich życia, od momentu złożenia wniosku o certyfikat aż do chwili jego wygaśnięcia lub unieważnienia.

Urząd Certyfikacji przechowuje certyfikaty użytkowników i udostępnia je innym użytkownikom dzięki czemu następuje planowa wymiana certyfikatów. Zgromadzone certyfikaty mogą być również publikowane do innych źródeł jak np. LDAP. Comarch PKI umożliwia ponadto dowolne hierarchiwizowanie struktury CA (Certificate Authority), wydzielanie komórek realizujących poszczególne funkcje, np:

  • Serwer 1 - ROOT CA - Główne Centrum Certyfikacji podpisujące Urzędy pośrednie (offline)
  • Serwer 2 - Urząd pośredni - centrum Certyfikacji generujące certyfikaty dla końcowych użytkowników
  • Serwer 3 - Registration Authority (RA) Urzędu pośredniego - udostępniające interfejsy dla końcowych użytkowników

Comarch PKI CA jest łatwo konfigurowalnym systemem przyjaznym dla użytkowników. Dzięki możliwości tworzenia tzw. profili (dostosowanych do konkretnych wymagań) została ułatwiona i przyspieszona obsługa wniosków o certyfikat. Generowanie nowych certyfikatów może następować w systemach Windows jak i Linux, a ich przechowywanie może być realizowane w magazynie systemowym lub np. w tokenie (obsługiwane przeglądarki IE 6.0 i nowsze lub Mozilla Firefox 2.0 i nowsze).

Możliwości i cechy systemu:

  • Tworzenie nowego CA
  • Definiowanie profilów dla CA i użytkowników oraz certyfikatów w celu uproszczenia zarządzania. (Różne profile certyfikatów zawierających wybrane rozszerzenia dostosowane do konkretnych wymagań użytkownika umożliwiają obsługę różnorodnych zastosowań certyfikatów, czy różnych grup użytkowników)
  • CA umożliwia generowanie list certyfikatów unieważnionych (CRL) całościowych i przyrostowych, CRLe mogą być publikowane za pomocą LDAP lub Active Directory
  • CA dostarcza repozytorium certyfikatów z którego można ściągać certyfikaty innych użytkowników
  • Realizacja wystawiania i unieważnienia certyfikatu
  • Wyszukiwanie certyfikatów wg zadanych kryteriów
  • Administrator ma możliwość zmiany częstotliwości publikacji list CRL i miejsca ich publikacji np. LDAP, AD
  • Obsługa Online Certificate Status Protocol (OCSP) - uzyskiwanie informacji o statusie certyfikatu w danej chwili
  • Współpraca ze sprzętowym modułem kryptograficznym HSM
  • Budowanie CA w strukturze hierarchicznej
  • Interfejsy administracyjne są udostępnione za pomocą stron www obsługiwanych przez przeglądarki internetowe
  • Certyfikat jest generowany i instalowany na karcie natychmiast po wysłaniu wniosku o certyfikat do centrum certyfikacji
  • Możliwość wyboru przez użytkownika nośnika klucza

Comarch PKI Podpis Cyfrowy

Cyfrowe podpisywanie dokumentów jest prostym i skutecznym sposobem zapewnienia bezpieczeństwa przesyłanych informacji (gwarantuje pewność co do nadawcy, integralność danych i poufność). Comarch PKI Podpis Cyfrowy służy realizacji składania i weryfikacji podpisu cyfrowego. Rozwiązanie to umożliwia podpisywanie zewnętrznych plików/dokumentów, osadzanie podpisanych danych wewnątrz podpisu oraz podpis wewnątrz dokumentu (detached, enveloping i enveloped signature). Istnieje również możliwość składania kontrasygnaty czyli wielokrotnego podpisu.

Po otrzymaniu wiadomości dołączony do niej podpis cyfrowy jest weryfikowany, odbiorca jest w stanie natychmiast stwierdzić czy nastąpiła nieuprawniona modyfikacja treści. Rozwiązanie wspiera możliwość składania podpisu kwalifikowanego jak również jego weryfikację. Powyższy komponent spełnia ustawowe wymagania odnośnie podpisu elektronicznego.

Rozwiązanie oparte jest o OPKI2, które jest biblioteką kryptograficzną umożliwiającą składanie i weryfikację podpisu w xml'owym formacie XAdES (rozszerzenie podpisu w formacie XML-DSig). Obsługiwany jest również XAdES-BES oraz XadES-T. Podpisywane mogą być zewnętrzne pliki (datached signature), dane binarne oraz pliki typu xml osadzone wewnątrz podpisu (enveloping signature) oraz sam podpis osadzony wewnątrz dokumentów xml (enveloping signature). OPKI2 może działać z wykorzystaniem sprzętowego modułu kryptograficznego typu HSM (Hardware Security Module).

Biblioteka umożliwia znakowanie czasem danych i podpisów (w tym wielokrotne znakowanie czasem) zgodnie ze specyfikacją protokołu TSP (Time Stamp Protocol). Do znakowania czasem wykorzystywane są zewnętrzne serwery znakowania czasem TSA (Time Stamp Authority). W systemie obsługiwane są binarne znaki czasu, będące same w sobie podpisem w formacie CMS. Znakowanie czasem jest usługą zapewniającą, iż konkretny dokument elektroniczny utworzony w określonym momencie czasu z określoną treścią nie został zmieniony po tym czasie.

Wystawione podpisy moga być wielokrotnie kontrasygnowane. Kontrasygnata stanowi podpis podpisu i pozwala na wielokrotne kontrasygnowanie tego samego podpisu przez dowolną liczbę zainteresowanych stron.

W skład OPKI2 wchodzi także Cryptlet będący komponentem webowym działającym za pomocą przeglądarki, który pozwala na składanie podpisów z wykorzystaniem magazynu certyfikatów systemu Windows (w tym certyfikatów na zewnętrznych czytnikach kart).

Weryfikacja certyfikatów odbywać się może poprzez listy odwołanych certyfikatów CRL (Certificate Revocation List) oraz protokół statusu certyfikatów OCSP (Online Certificate Status protocol).

Biblioteka OPKI2 jest niezależna od systemu operacyjnego (została stworzona w języku JavaTM). Cryptlet (Java'owy aplet) ze względu na swą funkcjonalność wymaga systemu Windows. Funkcjonalność OPKI2 jest udostępniona poprzez Javowe API oraz poprzez web service (umożliwia to komunikację z biblioteką przez sieć i przez programy stworzone w innych technologiach i językach programowania). Obsługiwane są certyfikaty w formacie X.509 i algorytm podpisu RSA ze skrótem SHA1.

Biblioteka OPKI2 wymaga:

  • Java SE JDK 1.6 (Java Development Kit) lub wyższy;
  • Serwera web service Apache Axis2/Java 1.4.1 lub wyższy (wersja standalone);
  • bazy danych PostgreSQL 8.3 lub wyższy;
  • Windows'a 2000 lub nowszy albo Linux (kernel 2.6);
  • Dostępu do sieci Internet (do aktualizacji list CRL oraz weryfikacji certyfikatów po OCSP);
  • Modułu HSM nCipher nShield (opcjonalny; do sprzętowej realizacji algorytmów kryptograficznych i przechowywania certyfikatów używanych przez bibliotekę OPKI2).