LINEBURG


<< Пред. стр.

страница 12
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

PDS не является универсальным. Но если дополнить список этих
документов стандартным шаблоном (XML-таблицей), позволяющим
характеризовать политику PKI [49], то разработка политики сведется
к выбору тех параграфов, которые пожелает зафиксировать кон-
кретная компания, разворачивающая PKI, и проставлению в пустых
графах соответствующих денежных сумм, временных ограничений
и т.п. Это не только даст выигрыш во времени, но и позволит срав-
нивать политики разных инфраструктур открытых ключей при вза-
имной сертификации. Подключение таблицы стиля политики PKI к
поисковому механизму даст возможность автоматически анализиро-
вать ее структуру. В результате поиска и сравнительного анализа
стандартных таблиц, характеризующих политику каждой зарегист-
рированной PKI, будет легко установить соответствие политик раз-
ных инфраструктур и принять решение о безопасности взаимной
сертификации. Этот способ гораздо проще бюрократического и тру-
доемкого метода синхронизации политик PKI, используемого сего-
дня.
Конечные пользователи могут выполнить аналогичный поиск,
просто указывая, какие пункты политики PKI должны быть представ-
лены и какие пределы сумм транзакций допустимы. В результате
такого поиска формируется список компаний, которые обладают, по
крайней мере, базовым уровнем защищенности и с которыми можно
вести бизнес. Для выделения сертификатов тех компаний, которые
поддерживают определенный уровень профессионализма в области




PDF created with pdfFactory Pro trial version www.pdffactory.com
______________________ 5. Политика РК1________________________99


PKI, подтвержденный внешним аудитом, сейчас предлагается ввести
стандартные логотипы подобно узнаваемым логотипам (VISA, Mas-
ter Card) на пластиковых картах. Такие логотипы могут служить хо-
р оши м ори е н ти р ом п р и п р и н яти и р еш е н и я о д ов е р и и
к конкретной компании. Организация IETF планирует сформировать
рабочую группу для формализации процесса добавления логотипов
на сертификаты после их верификации.
5.4. Набор положений политики PKI
5.4.1. Общие разделы
Набор положений - совокупность положений практики и/или
политики PKI, охватывающих круг стандартных тем для формули-
рования политики применения сертификатов или регламента. Рису-
нок 5.1 иллюстрирует ориентировочный перечень разделов, вклю-
чаемых в описание политики применения сертификатов или регла-
мента.
Стандарт RFC 2527 Certificate Policy and Certification Practices
Framework [93] не обязывает разработчиков политики или регламента
называть разделы определенным образом и не устанавливает ника-
ких правил раскрытия содержания компонентов политики или рег-
ламента. Поэтому перечень разделов можно рассматривать как ре-
комендательный список, позволяющий эффективно сравнивать раз-
личные политики применения сертификатов и регламенты при при-
нятии решений о формировании политики.
В наборе положений следует прямо или косвенно (по ссылке)
задавать типы спецификаторов политики и их значения, используе-
мые по умолчанию.
Общие разделы в наборе положений предваряет раздел Введе-
ние, в котором дается краткий обзор спецификации, описываются
используемые термины и идентификаторы, определяются типы
субъектов PKI и списки приложений, для которых применение вы-
пускаемых удостоверяющим центром сертификатов возможно, огра-
ничено или запрещено. Кроме того, в разделе Введение содержится
название и юридический адрес удостоверяющего центра, который
отвечает за регистрацию, интерпретацию и поддержку данной поли-
тики применения сертификатов или регламента, а также информа-




PDF created with pdfFactory Pro trial version www.pdffactory.com
100 __________________ Основы технологии PKl ________________


ция о контактном лице (имя, адрес электронной почты, номер теле-
фона и факса).
Перечень общих разделов, представленный на рис. 5.1 охва-
тывает широкий круг проблем юридической и общей практики.
Раздел Обязательства регулирует обязательства субъектов
PKI: удостоверяющего и регистрационного центров, подписчиков
(владельцев сертификатов ключей подписи) и доверяющих сторон.
К ним относятся:
1) обязательства УЦ и/или РЦ:
• уведомление о выпуске сертификата других лиц помимо
субъекта сертификата;
• уведомление субъекта сертификата об аннулировании или
приостановлении действия его сертификата;
• уведомление других лиц помимо субъекта сертификата об
аннулировании или приостановлении действия сертификата данного
субъекта;
• своевременная публикация сертификатов и информации
об аннулировании;
2) обязательства подписчика (владельца сертификата):
• точное информирование о цели использования сертифика
та при обращении к удостоверяющему центру с запросом о выдаче
сертификата;
• сохранение в тайне секретного ключа;
• использование секретного ключа и сертификата с учетом
ограничений политики PKI;
• уведомление о компрометации секретного ключа;
3) обязательства доверяющей стороны:
• использование сертификата только по назначению;
• соблюдение порядка верификации ЭЦП;
• проверка статуса сертификата перед его использованием;
• подтверждение соответствующих пределов ответственно
сти и гарантий.




PDF created with pdfFactory Pro trial version www.pdffactory.com
101
5. Политика PKI



Набор положений политики PKI




Общие разделы Специальные
разделы



Обязательства Идентификация и
аутентификация

Ответственность Операционные
требования
Управление
Финансовая физической,
ответствен ность процедурной и
кадровой
Интерпретация и безопасностью
правоприменение
Управление
технической
Плата за услуги
безопасностью

Аудит деятельности Форматы
сертификатов и САС
субъектов

Администрирование
Конфиденциальность
спецификации

Права на
интеллектуальную
собственность

Рис. 5.1. Набор положений политики PKI




PDF created with pdfFactory Pro trial version www.pdffactory.com
102 __________________ Основы технологии РК1 _________________


Раздел Ответственность содержит положения, позволяющие
распределять ответственность между всеми субъектами PKI:
1) гарантии и ограничения на гарантии;
2) виды ущерба: случайный ущерб, ущерб по небрежности,
убытки (фактические, косвенные, заранее оцененные, штрафные),
мошенничество;
3) непризнание ущерба;
4) исключения (например, форс-мажорные обстоятельства, от
ветственность другой стороны).
Раздел Финансовая ответственность регулирует возмеще-
ние ущерба удостоверяющего или регистрационного центров дове-
ряющими сторонами, фидуциарные (между доверенными лицами)
отношения между различными субъектами и административные
процессы (бухучет, аудит). Правовые положения и процедуры ре-
шения споров, имеющие отношение к интерпретации и исполнению
политики применения сертификатов или регламента содержатся
в одноименном разделе Интерпретация и исполнение.
В разделе Плата за услуги излагается политика компенсации
и перечисляются виды услуг, за которые взимается плата с клиентов
удостоверяющего и регистрационного центров (выпуск и повторный
выпуск сертификата, доступ к сертификату и к информации о стату-
се сертификата, информирование о политике удостоверяющего цен-
тра и др.).
Раздел Публикация и реестры содержит обязательства удо-
стоверяющего центра публиковать информацию о политике приме-
нения сертификатов и регламенте, сертификатах и их статусе и кон-
тролировать доступ к объектам публикуемой информации, инфор-
мацию о частоте публикации и требования к реестрам, управляемым
удостоверяющим центром или другими независимыми сторонами.
В раздел Аудит деятельности субъектов включены следую-
щие положения:
1) частота проверок для каждого субъекта PKI;
2) личность/квалификация аудитора;
3) отношение аудитора к субъекту;
4) действия, предпринимаемые после обнаружения нарушений
в деятельности субъекта;




PDF created with pdfFactory Pro trial version www.pdffactory.com
5. Политика PKI 103


5) обеспечение и разделение ответственности за нарушения
субъекта.
В разделе Конфиденциальность указываются виды данных,
которые должны храниться удостоверяющим или регистрационным
центром конфиденциально, виды данных, не являющихся конфи-
денциальными, перечисляются лица, имеющие право на получение
информации о причинах аннулирования или приостановления дей-
ствия сертификатов. Кроме того, в этом разделе излагается политика
раскрытия информации официальным представителям правоохрани-
тельных органов, приводятся условия раскрытия конфиденциальной
информации, информации для гражданских судебных исков и ин-
формации по запросу ее собственника.
Перечень общих разделов завершается разделом Права ин-
теллектуальной собственности, описывающим права интеллекту-
альной собственности на сертификаты, спецификации политики
применения сертификатов и регламента, имена и ключи.
5.4.2. Специальные разделы
Изложение специальных разделов начинается с раздела Иден-
тификация и аутентификация, который описывает процедуры ау-
тентификации заявителя на сертификат, используемые удостове-
ряющим или регистрационным центром перед выпуском сертифика-
та. Он также регламентирует порядок аутентификации лиц, обра-
щающихся с запросом об аннулировании или повторном выпуске
ключа, а также практику использования имен, включая признание
собственности имени и разрешение споров об имени. Этот раздел
включает следующие подразделы:
• начальная регистрация;
• обычное возобновление ключа;
• повторный выпуск ключа после аннулирования;
• запрос об аннулировании ключа.
Подраздел Начальная регистрация содержит положения, от-
носящиеся к процедурам идентификации и аутентификации во вре-
мя регистрации субъекта или выпуска сертификата:
1) типы имен, присваиваемых субъекту;
2) регулирование многозначности имен;




PDF created with pdfFactory Pro trial version www.pdffactory.com
104___________________ Основы технологии РК1_________________

3) правила интерпретации различных форм имени;
4) регулирование уникальности имен;
5) признание, аутентификация и роль торговых марок;
6) регулирование обязанности субъекта доказывать владение
секретным ключом, составляющим пару с зарегистрированным от
крытым ключом;
7) требования аутентификации организационной принадлеж
ности субъекта (УЦ, РЦ или конечный субъект);
8) требования аутентификации лица, действующего от имени
субъекта, в том числе:
• необходимое количество составляющих идентификации;
• порядок ратификации удостоверяющим или регистраци
онным центром составляющих идентификации;
• условия персонального представления физического лица
при аутентификации в удостоверяющем или регистрационном центре;
• условия аутентификации юридического лица.
Подразделы Обычное возобновление ключа, Повторный вы-
пуск ключа после аннулирования и Запрос об аннулировании опи-
сывают процедуры идентификации и аутентификации каждого
субъекта (УЦ, РЦ и конечный субъект) при обычном возобновлении
ключа, повторном выпуске сертификата и обработке запроса об ан-
нулировании сертификата.
Структура раздела Операционные требования представлена
на рис. 5.2. В каждом подразделе формулируются требования ко
всем субъектам PKI по различным видам операционной активности.
Подраздел Запрос о выдаче сертификата определяет требова-
ния к процедуре регистрации субъекта и запросу о выдаче сертифи-
ката, подраздел Выпуск сертификата - к выпуску сертификата и про-
цедуре уведомления об этом субъекта, подраздел Принятие серти-
фиката - к процедурам принятия субъектом выпускаемого сертифи-
ката и последующей публикации сертификата.
Подраздел Прекращение деятельности УЦ описывает порядок
прекращения деятельности удостоверяющего и регистрационного
центров и уведомления об этом всех заинтересованных сторон.




PDF created with pdfFactory Pro trial version www.pdffactory.com
5. Политика PKI 105


Операционные
требования

Запрос о выдаче Контроль
сертификата безопасности
Выпуск
Прекращение
Смена
сертификата
деятельности УЦ
ключа
Принятие
сертификата Восстановление в
случае
Архивные
Приостановление компрометации
записи
и аннулирование или стихийного
сертификата бедствия

Рис. 5.2. Структура раздела «Операционные требования»

Подраздел Приостановление и аннулирование сертификата
определяет:
1) условия аннулирования сертификата;
2) круг лиц, имеющих право подавать запрос об аннулирова
нии сертификата субъекта;
3) процедуры формирования запроса об аннулировании сер
тификата;
4) условия приостановления действия сертификата;
5) круг лиц, имеющих право подавать запрос о приостановле
нии сертификата субъекта;
6) процедуры формирования запроса о приостановлении сер
тификата;
7) срок приостановления;
8) частоту выпуска САС;
9) требования к доверяющим сторонам по проверке САС;
10) другие формы объявления об аннулировании сертификата;




PDF created with pdfFactory Pro trial version www.pdffactory.com
106 __________________ Основы технологии PKI _________________


11) требования к доверяющим сторонам по проверке других
форм объявления об аннулировании сертификата;
12) любые варианты перечисленных выше условий, если при
остановление или аннулирование вызваны компрометацией секрет
ного ключа.
Подраздел Контроль безопасности используется для описания
систем контроля и регистрации событий, обеспечивающих безопас-
ность среды, и включает следующие элементы:
1) типы регистрируемых событий;
2) частота обработки или проверки контрольных журналов;
3) срок хранения контрольных журналов;
4) защита контрольных журналов от модификации и уничто
жения, круг лиц, имеющих к ним доступ;
5) процедуры создания резервных копий контрольных жур
налов;
6) характеристика системы накопления данных контрольного
журнала (внутренняя или внешняя по отношению к субъекту);
7) уведомление об акции контроля субъекта, виновного в на
рушении;
8) оценки уязвимости.
Подраздел Архивные записи регламентирует порядок хране-
ния записей в архиве и описывает:
1) типы фиксируемых событий;
2) срок хранения в архиве;
3) защита архива (лица, имеющие доступ к архиву; защита от
модификации и уничтожения);
4) процедуры создания резервной копии архива;
5) требования проставления метки времени записей;
6) характеристика системы сбора архива (внутренняя или
внешняя);
7) процедуры получения и проверки архивной информации.
Подраздел Смена ключа описывает процедуры обеспечения
подписчиков удостоверяющего центра новыми открытыми ключа-
ми. Подраздел Процедуры восстановления в случае компрометации
или стихийного бедствия определяет требования к процедурам реги-
страции и восстановления в случаях: порчи вычислительных ресур-




PDF created with pdfFactory Pro trial version www.pdffactory.com
5. Политика РК1 107


сов, программного обеспечения и/или данных, аннулирования от-
крытого ключа субъекта, компрометации ключа субъекта. Эти про-
цедуры описывают для каждого случая, как переустанавливается
безопасная среда, какие сертификаты аннулируются, аннулируется
ли ключ субъекта, как пользователи получают новый открытый
ключ субъекта, как субъект вновь получает сертификат.
Процедуры удостоверяющего центра для поддержания безо-
пасности своего оборудования в течение определенного времени по-
сле стихийного или иного бедствия и до переустановки безопасной
среды в первоначальном местонахождении удостоверяющего центра
или в удаленном от него месте.
Раздел Физические, процедурные и кадровые средства
управления безопасностью описывает нетехнические аспекты
управления безопасностью субъектов PKI в целях безопасного вы-
полнения функций генерации ключей, аутентификации субъектов,
выпуска и аннулирования сертификатов, аудита и хранения записей
в архиве. Раздел делится на три подраздела: Физические средства
управления безопасностью, Процедурный контроль и Кадровые

<< Пред. стр.

страница 12
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign