Система криптографической защиты в ОС MS Windows

На всех рабочих станциях и серверах, которые работают под управлением операционных систем Windows 2000/XP и Windows NT, и на всех рабочих станциях, которые работают под управлением операционных систем Windows 95 и Windows 98 обеспечена поддержка приложений, использующих криптографию с открытыми ключами. На рисунке (Рисунок 6.2.) показана блок‑схема служб, формирующих поддержку таких приложений. Краеугольный камень этих служб — криптографический интерфейс CryptoAPI 1.0. Он обеспечивает стандартный доступ к функциям криптографических модулей CSP (Cryptographic Service Provider). CSP могут быть программными или работающими совместно с аппаратными криптографическими устройствами. Они способны поддерживать разнообразные криптографические алгоритмы и степени защиты ключей. Выше уровня криптографических служб находится набор служб управления сертификатами. Они поддерживают сертификаты, соответствующие стандарту X.509 версии 3. Имеются также службы для обработки криптографических сообщений, поступающих в стандартных форматах. Эти службы поддерживают форматы PKCS, используемые для криптографии с открытыми ключами, развивающуюся инфраструктуру открытых ключей, определяемую рекомендациями IETF и использующую сертификаты X.509 (PKIX).

Другие службы используют интерфейс CryptoAPI с целью обеспечения дополнительных возможностей разработчикам приложений. Защищенный канал (Schannel) поддерживает аутентификацию и шифрование передаваемых по сети данных с помощью протоколов TLS (Transport Layer Security) и SSL (Secure Sockets Layer), ставших отраслевыми стандартами. Доступ к этим функциям осуществляется через интерфейс WinInet для протокола HTTP (HTTPS) и через интерфейс SSPI (Security Support Provider Interface) для других протоколов. Технология Authenticode реализует механизмы создания электронной цифрой подпись компонентов и ее проверку. Она используется в основном для определения источника и целостности, загружаемых через Интернет компонентов, но может быть использована и в других целях. Поддерживаются также универсальные интерфейсы для смарт‑карт. Они используются для интегрирования смарт‑карт независимо от конкретных приложений и служат основой для системы регистрации в домене с помощью смарт‑карт.