Struktura dwupoziomowa

KIR zrealizowała system SZAFIR w dwustopniowej architekturze. U jej szczytu znajduje się główny urząd certyfikacji (RootOZK), który jest ośrodkiem nadrzędnym w stosunku do dwóch ośrodków zarządzania kluczami OZK1 (wydającego certyfikaty dla uczestników systemu ELIXIR) i TestOZK (generuje certyfikaty testowe). Jednocześnie dla zwiększenia bezpieczeństwa nie jest on podłączony do żadnej sieci teleinformatycznej, a jedynym nośnikiem umożliwiającym przenoszenie informacji między nim a podległymi mu urzędami jest dyskietka. "Jest to podstawowe fizyczne zabezpieczenie i w rzeczywistości jedyne, które w pełni gwarantuje, że nie zostanie naruszone bezpieczeństwo głównego urzędu certyfikacji" - podkreśla Elżbieta Włodarczyk.

OZK1 podlegają dwa ośrodki rejestracji kluczy ORK1 i ORK2, wykorzystywane na potrzeby systemów ELIXIR i SYBIR. Do ORK1 zgłaszają się osobiście subskrybenci ze specjalnie przygotowanym żądaniem wydania pierwszego certyfikatu lub żądaniem unieważnienia certyfikatu. ORK2 służy do telekomunikacyjnego generowania kolejnych certyfikatów. "Zależało nam na tym, aby po wydaniu certyfikatu i przed upływem terminu jego ważności nasz klient, jakim jest oddział banku, mógł drogą telekomunikacyjną zgłosić żądanie wystawienia nowego certyfikatu i by certyfikat taki, o ile wcześniej z jego użytkownikiem nie było żadnych problemów, został automatycznie wystawiony" - mówi Elżbieta Włodarczyk. Takiej funkcjonalności UniCERT nie realizuje standardowo. KIR chciała, by żądanie odnowienia certyfikatu było przesyłane do ośrodka rejestracji standardowym komunikatem PKCS#10 podpisanym z wykorzystaniem starej pary kluczy i jednocześnie, by odpowiedź zawierająca nowy klucz publiczny trafiała w formie komunikatu PKCS#10 zaszyfrowanego stosowanym dotychczas kluczem publicznym (ze starej pary) klienta. Rozbudowę aplikacji na życzenie KIR wykonała firma CryptoTech.

TestOZK to ośrodek testowy, z którym komunikuje się ośrodek rejestracji TestORK, wydający certyfikaty testowe o długości 512 bitów (certyfikaty te są wydawane za pośrednictwem strony WWW). Komunikacja między RootOZK, OZK1 i TestOZK jest zabezpieczona dzięki zastosowaniu kluczy o długości 2048 bitów. Użytkownicy systemu ELIXIR korzystają w systemie SZAFIR z kluczy 1024-bitowych.

System pracuje w strukturze zdublowanej w dwóch centrach przetwarzania KIR. Dublowana jest cała infrastruktura klucza publicznego łącznie z serwerem usług katalogowych X.500.

IMBIR

Najnowszym systemem KIR, uzupełniającym usługi świadczone w ramach systemów SYBIR i ELIXIR, jest system optycznego odczytu standardowych dokumentów papierowych IMBIR. W jego ramach jest realizowane skanowanie dostarczanych przez banki dokumentów papierowych (pierwsze banki dostarczały zarówno dokumenty na standardowych formularzach przelewów, jak i tzw. dokumenty niestandardowe, np. druki mandatów itp.), ich optyczne rozpoznawanie z zastosowaniem technologii ICR (Intelligent Character Recognition), korekta, bilansowanie, a następnie ich archiwizowanie w BRIR-ach w postaci elektronicznej i papierowej. Rezultatem obróbki dokumentów są zbiory wynikowe w formacie umożliwiającym ich skierowanie do rozliczenia w systemie ELIXIR albo automatyczne zarejestrowanie w systemie księgowym banku, do którego jest kierowane zlecenie pochodzące z systemu SYBIR. Dodatkowym produktem systemu IMBIR jest dla oddziału banku płyta CD-ROM, na której znajdują się zarówno rozpoznany tekst wszystkich dokumentów z danego dnia, jak i obrazy tych dokumentów w formie graficznej razem z ich przeglądarką oferującą możliwość wyszukiwania.