Мусиенко А.Ю., Бубнов А.А.
Национальный
горный университет, Украина
Вопросы построения регламента и
политики
использования сертификатов в
инфраструктуре
открытых ключей
1. Введение
Важным этапом процесса создания
инфраструктуры открытых ключей (PKI) как основы для построения систем
защищенного электронного документооборота, является выбор подхода к
формированию комплекта эксплуатационной и организационно-распорядительной
документации, а в дальнейшем разработка и сопровождение этого комплекта. При
этом необходимо выполнять требования отечественного законодательства в области электронной
цифровой подписи (ЭЦП), систем защиты информации и шифровальных средств, максимально
следовать международным стандартам и рекомендациям [1,5-7].
Многие организации, реализующие функции
PKI, работают, скрывая отсутствие всякой формальной политики, потому что
никогда ранее не нуждались в ней. В последнее время развертывание PKI получает
все большее распространение, становится все более привычным, возрастает число
взаимодействий, поэтому работа без определенного набора политик становится
практически невозможной. Безопасность практики сертификации зависит от качества
разработки политики PKI и регламента удостоверяющего центра. Корректно спроектированная
политика позволяет значительно повысить уровень безопасности модели доверия PKI,
поэтому вопросы построения регламента и политики использования сертификатов
становятся все более актуальными.
В закрытой системе PKI регламент может не
использоваться, но требуется сформировать политику применения сертификатов. В
открытой системе PKI, взаимодействующей с внешними субъектами, необходимы и
политика, и регламент, и требования внутренней безопасности [2, 3].
К числу документов, регулирующих политику
PKI, относятся документы, описывающие политику применения сертификатов,
регламент и операционные процедуры, юридические контракты, заявления о
приватности, соглашения об обслуживании и др. Многочисленность документов
соответствует сложности и объему информации, связанной с действующей инфраструктурой.
При этом политика большинства систем PKI направлена на решение технических,
административных, юридических и кадровых проблем.
2. Основные
требования к политике PKI
Можно выделить следующие основные
требования к политике PKI:
·
соответствие общей корпоративной
политике безопасности;
·
четкость и однозначность
формулировок;
·
доступность изложения;
·
разграничение
ответственности между субъектами РКI;
·
адекватность ограничений
и пределов ответственности требованиям сферы приложения сертификатов.
Политика должна давать ясное и четкое
представление о функционировании PKI, не допуская неправильных интерпретаций и
толкований, устанавливать ответственность субъектов PKI в случае любой
проблемной ситуации, например, предусматривать ответственность доверяющей стороны
за причиненный ущерб в результате недобросовестной проверки сертификата и
взаимодействия вследствие этого не с тем получателем [8].
Необходимо, чтобы политика PKI защищала не
только систему, но и пользователей, не имеющих достаточных юридических или технических
знаний для полного понимания работы PKI. Доступность изложения политики
способствует правильному пониманию пользователями ответственности сторон и
позволяет избежать многих ошибок в применении сертификатов.
Политика PKI должна распределять ответственность
между субъектами системы и разумно ограничивать ее в зависимости от роли и
функций каждого. Так, например, ответственность за начальную идентификацию и
аутентификацию субъектов чаще всего возлагается на регистрационный центр.
Ответственность обычно ограничивается верхним предельным значением суммы (в стоимостном
выражении) каждой допустимой PKI-транзакции.
Ограничения могут распространяться также на частоту и источник транзакций.
Устанавливаемые ограничения и пределы ответственности должны быть разумными и
не сдерживать коммерческую деятельность предприятий, использующих в своей
деятельности сертификаты открытых ключей.
3. Политика
применения сертификатов и регламент
Как определено стандартом организации IETF, основными документами, описывающими политику PKI,
являются документ о политике применения сертификатов (ППС) и регламент [6]. Это
позволяет согласовывать политики безопасности разных организаций, хотя объем и
сложность большинства документов, содержащих ППС и регламент, делают этот
процесс достаточно трудоемким. В соответствии с международным стандартом
ISO/IEC 9594-8/ITU-Т под политикой применения
сертификатов понимается установленный набор правил, характеризующих возможность
применения сертификата определенным сообществом и/или для класса приложений с
определенными требованиями безопасности. Более детальное описание практики
удостоверяющего центра при выпуске и управлении сертификатами содержится в публикуемом
регламенте.
3.1.
Политика применения сертификатов
Фактом выпуска сертификата удостоверяющий
центр подтверждает пользователю сертификата (доверяющей стороне), что данный
открытый ключ принадлежит данному лицу (субъекту сертификата).
Степень доверия, с которой пользователю
сертификата следует полагаться на его надежность, зависит от назначения
сертификата и возможности его использования в конкретном приложении, так как
сертификаты выпускаются в соответствии с разными практиками и процедурами
удостоверяющих центров для разных приложений и целей.
При принятии решения об использовании данного
сертификата для конкретной цели и доверии к нему пользователь может
ориентироваться на указатель ППС в сертификате формата Х.509 версии 3. Таким
указателем, характеризующим политику применения сертификатов, является
уникальный зарегистрированный идентификатор объекта - Object Identifier,
Регистрация выполняется в соответствии с процедурами, определенными стандартами
Международной организации стандартизации ISO и Международной электротехнической
комиссии IEC и ITU. Сторона, регистрирующая Object Identifier, публикует текстовую
спецификацию ППС для ознакомления и проверки пользователями сертификатов. В
одном сертификате чаще указывается одна, а не несколько политик применения
сертификатов. Каждый удостоверяющий центр аккредитуется с учетом заявленных им
политик, которые считаются базовыми. При выпуске сертификата для другого
удостоверяющего центра данный УЦ должен оценить и отразить в сертификате
заявленный перечень политик применения сертификатов субъекта. Модель доверия
стандарта Х.509 предполагает анализ указателей ППС при обработке цепочки
сертификатов.
3.2.
Регламент удостоверяющего центра
Термин регламент удостоверяющего центра (Certification
Practice Statement - CPS) был введен в 1995 году в проекте директив
Американской ассоциации юристов (American Bar Association) как «заявление о
практике выпуска сертификатов удостоверяющим центром». Регламент принимает
форму подробного изложения той системы и практики, которых придерживается удостоверяющий
центр в работе с сертификатами [4].
Концепции политики применения сертификатов
и регламента имеют разное происхождение и разрабатывались по разным причинам,
но следует указать, что их связь чрезвычайно важна.
Регламент - это детальное изложение
практики удостоверяющего центра и всего того, что потенциально необходимо для
понимания и принятия во внимание подписчиками и пользователями сертификатов
(доверяющими сторонами). Регламент, независимо от его уровня детализации, более
подробен, чем описание политики применения сертификатов. Регламент должен быть
совершенно понятным, четким документом, описывающим сервисы удостоверяющего
центра и процедуры управления жизненным циклом сертификатов.
Удостоверяющий центр на базе одного
регламента может поддерживать многочисленные политики применения сертификатов,
используемые для приложений разного назначения или различными сообществами
пользователей сертификатов. Многие удостоверяющие центры с разными регламентами
могут поддерживать одну и ту же политику применения сертификатов.
Любой удостоверяющий центр, используя
спецификатор политики, может включить в выпускаемый им сертификат ссылку на
свой регламент. ППС должна описывать все области применения сертификатов
данного удостоверяющего центра, в то время как регламент удостоверяющего центра
может разрабатываться без учета назначения сертификатов. Таблица 1 позволяет
сравнить формулировки политики применения сертификатов, регламента и организационных
процедур, описывающие одно и то же положение политики РКI: защищенность аппаратных средств удостоверяющего
центра. Регламент и политика применения сертификатов содержат общую информацию
и публикуются открыто, а организационные процедуры носят конфиденциальный
характер и поэтому должны храниться в секрете. Обычно регламент и политика
имеют одинаковый формат публикации, установленный стандартом RFC 3647, и взаимно
дополняют друг друга.
Политика сертификата и регламент —
основные документы PKI. Тем не менее, это не единственные документы. Например,
соглашения с владельцем и пользователем сертификата определяют ответственность
сторон. В некоторых случаях эти документы могут использоваться как регламент.
Кроме того, эти документы, в отличие от политики сертификата и регламента,
являются элементами договорных отношений.
Таблица 1.
Сравнительная характеристика
формулировок документов,
описывающих отдельное
положение политики PKI
|
Формулировка ППС |
Формулировка регламента |
Формулировка организационных процедур |
|
Физический доступ к аппаратному обеспечению УЦ
разрешен только лицам, ответственным за техническую поддержку системы |
Для гарантирования физической безопасности аппаратного
обеспечения УЦ должны соблюдаться следующие меры контроля: ·
вход в помещение, где
размещается аппаратура УЦ, - только по два человека; ·
контроль доступа в помещение
- биометрический; · наблюдение за помещением - 24 часа в сутки 7 дней в
неделю (по системе 24/7) |
Аппаратное обеспечение УЦ размещается в помещении с IТ-блокировкой на ... этаже офиса ... на улице ... .
Дверь защищается замком и устройством биометрической аутентификации. Ключи
раздаются лицам, перечисленным в списке (приложение А), биометрические профили
создаются только для этих лиц. Камеры на северной стене над входом в помещение
и на западной стене за огнетушителем выполняют наблюдение под управлением
пульта безопасности 24 часа в сутки 7 дней в неделю |
3.3.
Определение состава сертификатов
Так же при разработке документации
необходимо определить состав выдаваемых и используемых в PKI сертификатов. В
рамках данной статьи под словом организация следует понимать предприятие,
ответственное за выпуск сертификатов. Кроме того, важно различать понятия
владелец и пользователь сертификата. Владельцем сертификата является физическое
лицо, которому принадлежит сертификат. Пользователь сертификата — это субъект,
каким–либо образом использующий сертификат.
Сертификат удостоверяющего центра, как и
любой другой, содержит поля issuer (издатель) и subject (субъект). Поле subject
сертификата удостоверяющего центра должно однозначно идентифицировать организацию
и содержать официальную информацию о ней. В случае корневого сертификата, поля
subject и issuer совпадают. Если же сертификат выдан другим удостоверяющим центром,
в случае подчинения или кросс–сертификации, поле issuer будет содержать
информацию об удостоверяющем центре, выдавшем сертификат, а поле subject —
информацию об удостоверяющем центре–владельце сертификата.
В поле subject сертификата удостоверяющего
центра следует указывать такие атрибуты, как:
·
organizationName (O) —
официально зарегистрированное название организации;
·
organizationalUnitName
(OU) — организационная единица;
·
countryName (C) —
двухбуквенный код страны местонахождения организации в соответствии с ISO 3166;
·
stateOrProvinceName (S
или ST) — для обозначения региона;
·
localityName (L) —
обозначает город;
·
streetAddress (STREET) —
почтовый адрес организации;
·
e-mailM (E или EA) —
адрес электронной почты удостоверяющего центра.
При издании сертификата абоненту,
удостоверяющий центр включает в него определенную информацию. Рассмотрим ее
состав и назначение. Информация, содержащаяся в сертификате, должна однозначно
идентифицировать организацию, ответственную за выпуск данного сертификата, и
владельца сертификата. Для указания владельца сертификата используется поле
subject, в котором содержится отличительное имя (Distinguished Name, DN),
включающее следующий набор атрибутов:
·
commonName (CN) — ФИО
или псевдоним, например «Уполномоченное лицо». В случае указания псевдонима в
соответствии с Федеральным Законом «Об ЭЦП», запись об этом вносится в сертификат;
·
organizationName (O) и
organizationalUnitName (OU) — содержат название организации и организационной
единицы (например подразделение или должность);
·
title (T) — атрибут для
указания должности;
·
countryName (C) —
название страны. Данный атрибут определяет контекст, в рамках которого следует
понимать остальные атрибуты (например, страна, в соответствии с
законодательством которой используется данный сертификат) и содержит международный
двухбуквенный код страны в соответствии с [ISO 3166];
·
stateOrProvinceName (S,
ST) — обозначает регион;
·
streetAddress (STREET) —
почтовый адрес владельца;
·
e-mail (E, EA) — адрес
электронной почты владельца сертификата.
Кроме того, каждый сертификат должен
содержать поле serialNumber, которое используется для предотвращения случаев
совпадения имен. Серийный номер любого сертификата должен быть уникальным для
всех сертификатов, выданных одним удостоверяющим центром.
4. Разработка
политики сертификата и регламента
Разрабатываемый регламент, как минимум,
должен содержать следующую информацию:
·
перечень политик
сертификата, используемых удостоверяющим центром;
·
набор правил издания,
управления и использования сертификата для каждой используемой политики.
Для облегчения использования и анализа
политики сертификата и регламента, а так же для стандартизации документов на
основании общемировых стандартов предлагается следующая структура регламента и
политики сертификата:
·
введение - раздел
идентифицирует и описывает содержание документа и области его применения;
·
публикация и хранение -
раздел определяет публикуемую информацию, требования к организации хранения и
доступа к ней;
·
идентификация и
аутентификация - определяет правила и требования к аутентификации и
идентификации участников при проведении каких-либо операций;
·
функциональные требования
жизненного цикла сертификата - определяет требования и правила издания,
управления и использования сертификата;
·
организационные,
эксплуатационные и физические меры обеспечения безопасности - определяет не
технические методы управления действиями участников PKI;
·
технические меры
обеспечения безопасности - определяет технические меры обеспечения
безопасности, предписываемые участникам PKI;
·
профили сертификатов и
списков отозванных сертификатов - раздел описывает профили сертификатов и CRL,
а так же другие методы проверки статуса сертификата, если таковые используются;
·
аудит - раздел
определяет требования и методы проведения аудита соответствия участников PKI
положениям руководящих документов.
·
иные юридические и
экономические аспекты - определяет оплату услуг, финансовую ответственность,
гарантии, права на интеллектуальную собственность и прочее.
5.
Заключение
Политика применения сертификатов позволяет
доверяющей стороне оценить надежность использования сертификата для
определенного приложения. В свою очередь, регламент
необходим для адекватной оценки надежности удостоверяющего центра, но он не
создает базис для функциональной совместимости удостоверяющих центров,
управляемых разными организациями. Таким базисом служат политики применения
сертификатов.
Практическое применение приведенных в статье
рекомендаций по совместному согласованному проектированию и использованию
регламента и политик
сертификатов позволит организовать инфраструктуру открытых ключей,
регламентировать работу и обезопасить ее участников.
Литература:
1.
Закон Украины "Про
электронную цифровую подпись"
2.
Горбатов В. С.,
Полянская О. Ю. “Основы технологии PKI.”, 2004.–248 c.;
3.
Александр Кушнеров,
“Применение ЭЦП и регулирование электронного документооборота в Украине и
мире”;
4.
Ника Комарова, “PKI в
корпоративной инфраструктуре: состояние и пути развития”;
5.
ITU-T Recommendation
X.509;
6. IETF RFC 3647
Certificate Policy and Certification Practices Framework;
7. American Bar
Association. PKI Assessment Guidelines;
8. WebTrust Program
for Certification Authorities;
9. European
Telecommunications Standards Institute, "Policy Requirements for
Certification Authorities Issuing Qualified Certificates”.