18/05/2016 Czapczyński Michał

Oprogramowanie QR-CERT

icon

 

Funkcjonalności

Oprogramowanie QR-CERT jest specjalistycznym pakietem aplikacji dedykowanym do budowy systemu infrastruktury klucza publicznego (Public Key Infrastructure) oraz systemu personalizacji i zarządzania kartami (Card Management System). Oprogramowanie zawiera szereg modułów funkcjonalnych, umożliwiających elastyczny dobór wymaganych do wdrożenia funkcjonalności. Oprogramowanie jest dedykowane dla dużych organizacji i środowisk korporacyjnych, w ramach których zastosowanie znajduje infrastruktura PKI i karty mikroprocesorowe. Oprogramowanie QR-CERT jest rozwiązaniem zarówno dla tych, którzy planują budowę własnej infrastruktury PKI, jak i podmiotów chcących świadczyć usługi w tym zakresie. Oprogramowanie pozwala na implementację zaawansowanych mechanizmów bezpieczeństwa w środowisku teleinformatycznym organizacji, takich jak: bezpieczna poczta elektroniczna (S/MIME), podpis elektroniczny (PKCS#7,XAdES), ochrona transmisji sieciowej (IPSEC, SSL/TLS), poufność transmisji i silne uwierzytelnienie użytkowników do portali usługowych (HTTPS) czy silne uwierzytelnienie do użytkowników do domeny Windows ActiveDirectory. QR-CERT posiada prosty i intuicyjny interfejs użytkownika oraz wiele funkcjonalności, które ułatwiają operatorom i administratorom codzienną pracę poprzez wsparcie dla automatyzacji najbardziej czasochłonnych zadań. Poza typową funkcjonalnością dla tego typu rozwiązań nasz produkt posiada moduły wspierające obsługę specjalistycznych urządzeń automatyzujących proces personalizacji i nadruku kart oraz niezbędną funkcjonalność do zarządzania cyklem życia tokenów (kart mikroprocesorowych). Oprogramowanie umożliwia skalowanie rozwiązania do dziesiątek milionów certyfikatów i kart wydawanych rocznie. Oprogramowanie posiada zestaw programowych API pozwalających na integrację systemu z innymi aplikacjami realizującymi procesy stowarzyszone lub zależne.

Zachęcamy do zapoznania się z dokumentacją, która szczegółowo opisuje proces instalacji, konfiguracji oraz wykorzystania poszczególnych modułów QR-CERT. Oprogramowanie jest udostępnione do pobrania na zakładce Pobierz.

Podstawowe usługi PKI realizowane przez QR-CERT

  • Rejestrowanie i rozpatrywanie wniosków o wydanie certyfikatów,
  • Sprawdzenie zgodności z polityką certyfikacji,
  • Generowanie kluczy prywatnych oraz publicznych (także we współpracy z modułami zewnętrznymi HSM),
  • Generowanie certyfikatów zgodnych ze standardem X.509 oraz CVC,
  • Wydawanie oraz pełna obsługa certyfikatów,
  • Weryfikacja statusu certyfikatów (OCSP, CRL),
  • Obsługa protokołów SCEP, CMP oraz Webservice,
  • Publikacja certyfikatów do katalogów LDAP, elektronicznych repozytoriów lub innych nośników informacji,
  • Archiwizacja certyfikatów,
  • Zarządzanie całą infrastrukturą PKI (subskrybentami, ich danymi oraz certyfikatami).

Usługi związane z kartami kryptograficznymi realizowane przez QR-CERT

  • Ewidencjonowanie oraz śledzenie statusu kart kryptograficznych w systemie,
  • Zarządzanie danymi osadzanymi na kartach,
  • Obsługa procesu personalizacji graficznej oraz elektronicznej kart,
  • Zarządzanie wydrukami oraz raportami,
  • Obsługa kart na etapie ich eksploatacji,
  • Integracja z własnym lub zewnętrznym systemem PKI.

Główne cechy oprogramowania QR-CERT

  • Graficzny interfejs użytkownika w języku polskim,
  • Dokumentacja użytkownika w formie elektronicznej (PDF) w języku polskim,
  • Trójwarstwowa architektura systemu: silnik bazy danych, serwer aplikacji QR-CERT, klient aplikacji QR-CERT,
  • Dostępne moduły funkcjonalne: PKI&CMS CORE, LOG, PUBLISHER, OCSP, TSP, SCEP, CMP, PORTAL, WebServices, API
  • Wsparcie dla silników baz danych: PostgreSQL 9.x, ORACLE 11g, IBM DB2
  • Wsparcie komponentów serwerowych QR-CERT dla systemów operacyjnych: Linux, AIX, HP-UX, oraz WINDOWS SERVER 2003/2008/2012,
  • Wsparcie klienta aplikacji QR-CERT dla systemów operacyjnych z rodziny MICROSOFT WINDOWS XP/VISTA/7/8
  • Współpraca z kartami różnych producentów w oparciu o interfejsy zgodne z PKCS#11 v2.01 i Microsoft CSP,
  • Wspierane sprzętowe moduły kryptograficzne: PKCS#11 generic, THALES (nCipher) nShield EDGE/SOLO/CONNECT, UTIMACO CryptoServer CSxx PCI/LAN.
  • Wsparcie dla urządzeń do automatycznej personalizacji kart: drukarki firmy EVOLIS, Drukarka HDP5000 firmy HID/FARGO
  • Wsparcie dla czytników kart mikroprocesorowych w standardzie PC/SC
  • Wsparcie dla kart kryptograficznych operatorów system z interfejsem PKCS#11.

Podstawowe funkcjonalności modułu CMS & PKI

  • Wsparcie dla uwierzytelnienia użytkowników aplikacji z użyciem karty i certyfikatu X.509
  • Prowadzenie i zarządzenie w systemie następującymi rejestrami konfiguracji obiektów:
    • profilami X.509/CVC,
    • urzędami CA,
    • certyfikatami urzędów CA,
    • politykami wydawania list CRL,
    • politykami wydawania certyfikatów,
    • profilami personalizacji tokenów,
    • certyfikatami urzędu archiwizacji KA,
    • punktami rejestracji,
    • kontami,
    • grupami,
    • modelami tokenów,
    • kanałami publikacji,
    • autonumeratorami
  • Wsparcie dla archiwizacji i odtwarzania kluczy przeznaczonych do realizacji funkcji poufności
  • Wsparcie dla konfiguracji „Profilu personalizacji kart” umożliwiającego zdefiniowanie generowania wielu kluczy i certyfikatów na karcie wraz z nadrukami na karcie i wydrukami dokumentacji oraz generowaniem i nadaniem kodów w ramach jednego przebiegu personalizacji karty.
  • Wsparcie dla konfiguracji wielu „modeli tokenów” różnych producentów kart wpierających interfejs aplikacyjny PKCS#11 lub CSP.
  • Konfigurowanie szat graficznych nadrukowywanych na kartach
  • Konfigurowanie szablonów dokumentacji drukowanej przy operacjach wydawania certyfikatów i personalizacji kart
  • Konfigurowanie szablonów etykiet samoprzylepnych drukowanych przy operacjach wydawania certyfikatów i personalizacji kart
  • Konfigurowanie szablonów kopert z sekretami i kodami PIN drukowanych przy operacjach wydawania certyfikatów i personalizacji kart
  • Możliwość konfiguracji wielu równoczesnych modułów HSM obsługiwanych przez jedną instalację oprogramowania QR-CERT
  • Wsparcie dla publikacji certyfikatów do zdalnych repozytoriów z zastosowaniem protokołów LDAP, HTTP i SMTP
  • Prowadzenie i zarządzanie w systemie następującymi rejestrami:
    • Magazyn kart,
    • Klienci,
    • Wnioski CA/RA,
    • Wnioski o ID,
    • Certyfikaty CA (X.509 i CVC),
    • Listy CRL (X.509),
    • Certyfikaty subskrybentów (X.509 i CVC),
    • Tokeny,
    • CHIP,
    • MIFARE,
    • Dokumenty,
    • Komunikaty systemowe
  • Obsługa procesów indywidualnych (w kontekście klienta):
    • Rejestrowanie klientów, zarządzanie ich danymi oraz statusem
    • Wydanie certyfikatu na podstawie klucza publicznego
    • Wydanie certyfikatu na podstawie danych zawartych we wniosku PKCS#10
    • Generacja kluczy i wydanie certyfikatu na podstawie otrzymanych danych (wydawane w formacie PEM, DER i PKCS#12)
    • Lokalna personalizacja tokenu
  • Obsługa procesów masowych/automatycznych (w kontekście klienta):
    • Masowa generacja kluczy i wydanie certyfikatu na podstawie źródła danych w postaci pliku wsadu lub listy wsadu
    • Masowa personalizacja tokenów na podstawie źródła danych w postaci „pliku wsadu” lub „listy wsadu”
    • Masowa personalizacja tokenów na podstawie źródła danych w postaci „wniosków o ID”
  • Obsługa procesów powydawniczych:
    • Procedura uwierzytelniania klienta przez telefon
    • Zarządzaniem statusem ważności certyfikatów
    • Lokalne odblokowanie kodu PIN tokenu
    • Zdalne udostępnienie kodów w celu odblokowania karty
    • Wydruki duplikatów z kodami do karty
    • Zarządzanie tokenami, CHIP i MIFARE oraz ich statusami
  • Obsługa procesów ogólnych:
    • Importowanie danych do magazynu kart i zarządzanie magazynem kart
    • Generowanie listy CRL na żądanie operatora
    • Akceptacja wniosku o certyfikat zarejestrowanego przez innego operatora
    • Inicjowanie tokenu do ustawień fabrycznych
    • Tworzenie listy wsadu
    • Tworzenie raportów

Algorytmy wspierane przy wydawaniu certyfikatów

Certyfikaty X.509

  • RSA
    • padding: PKCS#1 1.5 i PSS
    • length: 512, 1024, 2048, 4096, 8192
    • digest: md5, sha1, sha224, sha256, sha384, sha512
  • DSA:
    • length: 512, 1024, 2048, 4096, 8192,
    • digest: md5, sha1, sha224, sha256, sha384, sha512
  • ECDSA
    • curves: secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1,
    • digest: md5, sha1, sha224, sha256, sha384, sha512.

Certyfikaty CVC

  • RSA
    • padding: PKCS#1 1.5,
    • length: 1024, 1280, 1536, 2048, 3072
    • digest: sha1, sha256, sha512
  • ECDSA
    • curves: secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1,
    • digest: sha1, sha224, sha256, sha384, sha512