Для работы средств криптографической защиты информации (СКЗИ) требуются случайные числа. Внешняя гамма представляет собой заранее сформированную последовательность случайных чисел и применяется для облегчения разворачивания и дальнейшего обслуживания СКЗИ, не имеющих аппаратных датчиков случайных чисел (аппаратно-программный модуль доверенной загрузки - АПМДЗ).
Для создания СА сертификата на компьютере с установленным Сервером управления рекомендуется наличие аппаратного датчика случайных чисел (электронный замок «Соболь», «Аккорд-АМДЗ», АПМДЗ «КРИПТОН-ЗАМОК», «Тринити АПМДЗ», «МАКСИМ-М1»). Используя установленный АПМДЗ, файл с гаммой можно сгенерировать при помощи утилиты криптобиблиотеки S-Terra egamma_gen.exe, входящей в состав продукта и расположенной в директории С:\Program Files\S-Terra\S-Terra KP\lca\ST, например, командой:
egamma_gen.exe -n 10 -p С:\gamma
где
10 - необходимое количество отрезков гаммы (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте, и, например, 1000 в реальных условиях);
C:\gamma – путь до директории сохранения файла с гаммой.
В результате выполнения утилиты файл с гаммой eg_data будет создан в указанной директории (C:\gamma).
Внимание! |
Для корректной генерации последовательности рекомендуется наличие на Сервере управления аппаратного ДСЧ. Если электронный замок отсутствует, гамму можно сгенерировать на другом компьютере, оснащенном замком, и перенести на Сервер управления в произвольную директорию (например, C:\gamma). |
В качестве альтернативного способа генерации внешней гаммы в случае отсутствия аппаратного ДСЧ на компьютере с установленным Сервером управления можно использовать утилиту genkpim, входящую в состав «КриптоПро CSP». Для этого проделайте следующие шаги.
Шаг 1: Утилита genkpim компании «КриптоПро» расположена в директории С:\Program Files\S-Terra\S-Terra KP\sbin. Сгенерируйте файлы с гаммой, выполнив команду:
genkpim 10 12345678 C:\gamma
где
10 - необходимое количество отрезков гаммы (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте, и, например, 1000 в реальных условиях);
12345678 - номер комплекта внешней гаммы (8 символов в 16-ричном коде), в общем случае любое шестнадцатеричное восьмизначное число, например 12345678;
C:\gamma – путь до директории сохранения файлов с гаммой.
В результате выполнения утилиты в указанной директории (C:\gamma) будут созданы две директории db1 и db2 (Рисунок 62), содержащие по одному файлу с гаммой kis_1. Данные файлы идентичны и дублируются для повышения надежности.
Подробнее о создании внешней гаммы см. документацию на СКЗИ «Крипто Про CSP» («АРМ выработки внешней гаммы»).
Рисунок 62
Шаг 2: Запустите CryptoPro CSP от имени Администратора. Перейдите во вкладку Hardware, нажмите кнопку Configurate RNGs… (Рисунок 62).
Рисунок 63
Шаг 3: В следующем окне нажмите кнопку Add… (Рисунок 63).
Рисунок 64
Шаг 4: Появится окно мастера установки ДСЧ. Нажмите кнопку Next> (Рисунок 64).
Рисунок 65
Шаг 5: Далее из списка доступных ДСЧ выберите CryptoPro Source Data и нажмите кнопку Next> (Рисунок 65).
Рисунок 66
Шаг 6: В следующем окне можно оставить все без изменений и нажать Next> (Рисунок 66).
Рисунок 67
Шаг 7: Укажите путь до файла с гаммой и нажмите кнопку Next> (Рисунок 67).
Рисунок 68
Шаг 8: Установка гаммы завершена, нажмите кнопку Finish (Рисунок 68).
Рисунок 69
Шаг 9: Закройте CryptoPro CSP.
Шаг 10: В сценариях, когда ключевые контейнеры генерируются на компьютере с установленным Сервером управления с использованием инструмента CA Tools, для корректной генерации ключевой информации необходимо дополнительно импортировать файл с гаммой в формате криптобиблиотеки S-Terra (имя файла - eg_data) в директорию С:\ProgramData\s-terra\ext-gamma\. Файл с гаммой можно сгенерировать на компьютере с установленным АПМДЗ при помощи утилиты egamma_gen.exe, как было описано ранее. Полученный файл с гаммой eg_data перенесите на компьютер с Сервером управления в директорию С:\ProgramData\s-terra\ext-gamma.
Если гамма создавалась с помощью утилиты genkpim.exe как описано в шаге 1, то скопируйте в указанную выше директорию один из файлов с именем kis_1 и переименуйте его в eg_data (Рисунок 70).
Рисунок 70