LINEBURG


<< Пред. стр.

страница 16
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

сколько снизить операционный риск и риск утраты репутации удо-
стоверяющего центра. Полное раскрытие процедур ликвидации
ошибок и политики поддержания приватности позволяет развеять
сомнения части подписчиков относительно безопасности сервисов
PKJ, а ознакомление с технической документацией на системное
программное обеспечение, дает возможность клиентам дифферен-
цировать проблемы, возникшие по вине удостоверяющего центра
или из-за программных ошибок.
Обслуживание и техническая поддержка подписчиков
Политика, процедуры и работа службы технической поддерж-
ки являются потенциальным источником операционного и стратеги-
ческого рисков и риска утраты репутации. Удостоверяющий центр
может создать службу помощи (технического сопровождения) или
использовать некоторую другую форму прямого взаимодействия
с подписчиками и доверяющими сторонами. Решение проблем и ис-
правление ошибок, которые допускают подписчики и доверяющие
стороны из-за недостаточного понимания технологии PKI, требует
значительных ресурсов удостоверяющего центра или поставщика
услуг технической поддержки клиентов.
При эксплуатации программного обеспечения генерации циф-
ровой подписи могут возникнуть обстоятельства, при которых под-
писчики возложат все трудности использования данной технологии
на удостоверяющий центр, несмотря на то, что тот обычно не явля-
ется ни продавцом, ни разработчиком используемых программных
продуктов и даже не осуществляет их техническую поддержку. При
попытке подписать электронным способом сообщение или транзак-
цию у подписчиков могут возникнуть технические проблемы, кото-
рые могли не проявляться ранее, при инсталляции программного
обеспечения. Практическое решение для PKI может заключаться
либо во внутренней организации технического обслуживания клиен-
тов, либо в использовании услуг фирмы с соответствующим опытом
работы. В настоящее время некоторые фирмы предлагают смарт-




PDF created with pdfFactory Pro trial version www.pdffactory.com
_____________ 6. Проблемы и риски технологии PKI_______________135


карты для хранения сертификатов владельцев открытых ключей
подписи [72]. Вместо установки программного обеспечения на пер-
сональном компьютере пользователь может применять подключен-
ное к компьютеру считывающее устройство для смарт-карт. Смарт-
карта и считывающее устройство должны быть предварительно за-
программированы на загрузку информации сертификата данного
пользователя. Операционный риск и риск утраты репутации при об-
служивании и технической поддержке клиентов могут быть в неко-
торой степени снижены простотой использования аппаратных
средств и отказа от самостоятельной установки клиентами на свои
компьютеры необходимого программного обеспечения.
Приостановление и аннулирование сертификатов Так как
подписчик сам несет ответственность за безопасность средств
генерации цифровой подписи, то существует потенциальный риск
их компрометации и несанкционированного использования.
Поэтому в ряде случаев удостоверяющий центр приостанавливает
действие сертификатов или аннулирует их. При несвоевременном
мониторинге может выполняться аутентификация сообщений или
транзакций, заверенных ключами подписи просроченных сер-
тификатов. Неудачно разработанные политики и процедуры PKI яв-
ляются источником стратегического риска, а неправильно реализо-
ванные - подвергают удостоверяющий центр операционному риску
и риску утраты репутации. Корректировка времени необходимого
хранения сертификатов в реестре должна выполняться в зависимо-
сти от типа сертификатов. Несвоевременность приостановления
действия сертификата, используемого для конфиденциальных сооб-
щений или транзакций, повышает риск.
Удостоверяющий центр должен аннулировать сертификат, ес-
ли обнаруживается, что подписчик скомпрометировал свою цифро-
вую подпись. Наиболее вероятна компрометация, если подписчик не
обеспечил должной защиты своего секретного ключа. Один из са-
мых больших рисков в системе PKI кроется в ответственности каж-
дого владельца сертификата за безопасность системы хранения и
управления секретным ключом подписи. Очевидно, что у большин-
ства владельцев нет собственной защищенной компьютерной систе-
мы с управлением физическим доступом, TEMPEST экранирована-




PDF created with pdfFactory Pro trial version www.pdffactory.com
136___________________ Основы технологии PKl_________________


ем, с поддержкой сетевой безопасности «air wall» и другими средст-
вами защиты, они хранят свой секретный ключ на обычном компью-
тере, где ключ потенциально является объектом атаки вирусами или
другими зловредными программами [59]. Даже применение совре-
менных средств защиты при хранении секретного ключа не всегда
дает результат и уверенность, что никто кроме владельца не исполь-
зует его. Действительно, владелец вряд ли хранит секретный ключ
на компьютере в закрытой комнате с видеонаблюдением или на
смарт-карте, абсолютно устойчивой к атакам, лишь в редких случаях
для защиты ключа использует пароль, который нельзя подобрать
или тайно скопировать.
Проблема защищенного хранения секретного ключа тесно свя-
зана с риском юридической ответственности владельца этого ключа.
В настоящее время в ряде стран с развитым законодательством
в области электронного документооборота представителями компа-
ний, занимающихся продажей программных продуктов для PKI,
лоббируются законы о юридической ответственности за использова-
ние секретного ключа для подписи электронных документов. При
этом сторонники введения новых законов пытаются придать юриди-
ческий смысл термину «неотказуемость», предлагая законодательно
закрепить невозможность отказа владельца секретного ключа от
подписи на электронном документе, сгенерированной при помощи
этого ключа [59]. Этот термин взят из литературы по академической
криптографии и означает, что если алгоритм цифровой подписи не-
уязвим, то третья сторона не может подделать цифровую подпись
владельца ключа. Следовательно, если кто-то использует секретный
ключ для заверения электронного документа, то владелец ключа не
может отказаться от этой подписи.
Другими словами, в соответствии с некоторыми законами об
ЭЦП (например, штатов Юта и Вашингтон в США), если ключ под-
писи был сертифицирован удостоверяющим центром, то владелец
ключа ответственен за все, что «делает» этот секретный ключ неза-
висимо от того, кто в действительности был за клавиатурой компью-
тера или какой вирус совершил подписание электронного докумен-
та. В любом случае владелец ключа должен нести юридическую от-
ветственность. Такая интерпретация «неотказуемости» явно проти-




PDF created with pdfFactory Pro trial version www.pdffactory.com
6. Проблемы и риски технологии PKI


воречит сложившейся практике в отношении кредитных карт,
ответствии с международными правилами, если владелец возр
против данных счета его кредитной карты, то имеет право отк
ся от него, не подтвердив факт покупки - и продавец должен
зать обратное.
Если секретный ключ подписчика стал известен, злоумы
ники могут несанкционированно подписывать сообщения и тр;
ции. При возникновении сомнений относительно статуса серти
та, удостоверяющий центр может приостановить его действ
выяснения статуса. Операционный риск и риск утраты репу
могут возникать из-за ошибок в обработке запросов об аннуго
нии или приостановлении действия сертификатов. Например, i
лец ключа, временно лишенный возможности подписывать со<
ния из-за ошибочного приостановления его сертификата, noi
ально подвергается риску ущерба или упущенной выгоды и i
обратиться в суд, тем самым подрывая репутацию удостоверяй
центра. И наоборот, удостоверяющий центр рискует, если дов
щая сторона принимает сообщения или акцептует транзакции
писанные пользователем, чей сертификат был приостановле]
аннулирован.
Обработка запросов доверяющих сторон и верифш
сертификатов
Возникновение существенного операционного, стратегич
го рисков и риска утраты репутации связано с обработкой зап]
доверяющих сторон, полагающихся на статус персональных с
фикатов. Несмотря на то, что в договоре между подписчиком и
стоверяющим центром обычно закреплены обязательства поел*
го, транзакции с доверяющими сторонами могут быть не защш
договором, особенно в открытых системах. Например, если уд(
веряющий центр представляет доверяющей стороне аннулир<
ный сертификат как действующий, то рискует своей
репутацией и может быть привлечен к судебной
ответственности. В открытых системах существует
дополнительный риск того, что в течение периода действия
сертификата изменятся обстоятельства подписчиков или
группы подписчиков. На возрастание риска влияют любые
задержки при обработке запросов об аннулировании
сертификатов




PDF created with pdfFactory Pro trial version www.pdffactory.com
138 Основы технологии РК1


в результате неадекватных процедур или технических неполадок,
а также практика обработки запросов после их накопления группа-
ми, а не в режиме реального времени.
Существуют два метода информирования о статусе сертифи-
катов: открытая публикация удостоверяющим центром информации
о статусе сертификата в реестре и открытие этой информации по
запросам заинтересованных доверяющих сторон. Наиболее распро-
страненный метод получения информации о статусе сертификата
заключается в поиске в реестре сертификатов длинного списка ан-
нулированных сертификатов и последующей верификации, то есть
проверке действительности конкретного сертификата. Каждый ме-
тод связан с разными степенями рисков. Метод открытия статуса
сертификата по запросам позволяет удостоверяющему центру ус-
пешно переносить часть риска утраты репутации в отношении при-
нятия недействительного сертификата на доверяющую сторону.
С другой стороны, метод открытой публикации статуса сер-
тификата возлагает всю ответственность за неаккуратное или не-
своевременное обновление списка аннулированных сертификатов на
удостоверяющий центр. Исключение ошибок и более частая генера-
ция САС позволяют снизить операционный риск и риск утраты ре-
путации.
Существенное влияние на операционный риск при верифика-
ции сертификатов оказывают способность доверяющей стороны по-
нимать дополнения сертификата, а главное, защищенность системы,
осуществляющей верификацию. При верификации сертификатов
используется один или несколько открытых ключей самоподписан-
ного сертификата удостоверяющего центра, находящегося на вер-
шине иерархии (в корне древовидной структуры) данной PKI. Кор-
невой сертификат не обладает никакой повышенной защищенно-
стью, а список открытых ключей не является секретом. Если зло-
умышленнику удается добавить в этот список свой открытый ключ,
то он может сфабриковать свой собственный сертификат, который
получит ту же силу, что и другие законные сертификаты.
Снижению операционного риска способствует защита компь-
ютерной системы от физического или программного вмешательств?
и верификация всех сертификатов.




PDF created with pdfFactory Pro trial version www.pdffactory.com
6. Проблемы ириски технологии РК1 139

Использование информации
кредитных агентств при
идентификации подписчиков

Двойная структура сертификации


Содержание и сроки действия
сертификата

Политика, процедуры FKI и
Операционный
работа службы технической
риск
поддержки

Уязвимость программного
обеспечения генерации ЭЦП

Риск утраты
Ошибки в процессе связи с
пользователями репутации

Недостаточное информирование
пользователей о правах и
обязанностях субъектов PKI

Ответственность владельцев
сертификатов за хранение и
Стратегический
управление секретными ключами
риск
Метод информирования о статусе
сертификатов

Ошибки при обработке запросов о
_____ статусе сертификатов _____

Защищенность системы
верификации сертификатов

Недостаточная
интероперабельяость
программных и аппаратных
средств поддержки PKI


Рис. 6.1 . Факторы возникновения рисков PKI.




PDF created with pdfFactory Pro trial version www.pdffactory.com
140 __________________ Основы технологии PKI _________________


Основные факторы, влияющие на операционный, стратегиче-
ский риски и риск утраты репутации удостоверяющего центра,
представлены на рис. 6.1. В целом, самый серьезный риск, возни-
кающий при использовании открытой системы PKJ, заключается
в возможной неудаче при оказании PKl-услуг вследствие недоста-
точной функциональной совместимости различных программных и
аппаратных средств поддержки PKI [30]. Поэтому технология PKI
должна развиваться на базе признанных стандартов с учетом опыта
успешного функционирования Интернет: применения общих прото-
колов и предоставления общих услуг в глобальном масштабе.
6.3. Проблемы аутентификации и секретности
6.3.1. Проблемы аутентификация
Угрозы безопасности в процессе аутентификации
Использование цифровых сертификатов ключей подписи при
обмене электронными документами или сообщениями предполагает




Алиса Кэрол
Рис. 6.2. Пример 1

аутентификацию сторон, согласно которой каждый участник взаи-
модействия должен фактически являться именно тем, кем он себя
объявил, при этом проверяется, что данные поступили именно оп
него.
Рассмотрим проблемы аутентификации на примерах взаимо
действия трех пользователей, названных, как это принято в класси




PDF created with pdfFactory Pro trial version www.pdffactory.com
141
6. Проблемы и риски технологии РК1


ческой криптографии, Алиса, Боб и Кэрол [59]. Простейший и са-
мый надежный способ аутентификации - личная встреча с участни-
ком обмена электронными документами и установление его иден-
тичности.




Алиса Боб

Рис. 6.3. Пример 2

Так в примере 1 (см. рис. 6.2) проблем не возникает, так как
Алиса встречается с Кэрол и проверяет ее личность. Кэрол демонст-
рирует, что она контролирует ключ К. В более трудном положении
оказывается Боб, когда пытается узнать, кто использует ключ К (см.
рис. 6.3). Он не может встретиться с Кэрол, как это сделала Алиса
в примере 1, но, тем не менее, желает выяснить, принадлежит ли Кэ-
рол ключ К. Для этого Боб должен установить связь А, опираясь на
связи В к С, где связь В - это сертификат Алисы, а связь С - некото-
рое сопоставление мысленных представлений Алисы и Боба о Кэ-




PDF created with pdfFactory Pro trial version www.pdffactory.com
142 Основы технологии PKI


рол. В этой ситуации Боб может только полагаться на то, что Am
лично проверила надежность ключа Кэрол. Эта проблема усугуб.
ется, если Боб и Алиса вместо мысленных образов сравнивают HI
на, как в примере 3, они могут использовать имя «Кэрол», и\
в виду разных людей, но, не подозревая об этом, так как имена п<
ностью совпадают (см. рис. 6.4). И, наконец, самый сложный случ
(пример 4), когда Боб мысленно не представляет Кэрол и ее имя е
ни о чем не говорит.




К>рол----- г—Ктрол




Алиса Алиса Боб
Боб

Пример 4
Пример 3

Рис.6.4. Примеры 3 и 4
Принимая во внимание проблемы, проиллюстрированные р
сунками 6.2-6.4, перечислим угрозы безопасности обмена электро
ными документами, возникающие при желании Боба и Алисы ев
заться друг с другом (см. рис. 6.5):
1) несанкционированный доступ к компьютеру Алисы (свя
А);
2) совершение подлога: получение согласия Алисы на подп»
одного документа, присланного ей для предварительного ознако!
ления, а затем отправка ей на подпись другого документа (связь В);
3) хищение ключей или пароля для доступа к ключам из KOI
пьютера Алисы (связь С);




PDF created with pdfFactory Pro trial version www.pdffactory.com
6. Проблемы ириски технологии РК1 143


4) атака на криптографически защищенный канал (связь D, ко
торую можно не учитывать, так как существует много других воз
можностей).
5) подмена ключа Алисы на ключ злоумышленника. Если
ключ Алисы защищен сертификатом, атакующий может подменить
корневой ключ сертификата и выпустить новые сертификаты для
своего собственного ключа (связь Е).
6) обман злоумышленником Боба, что подпись была провере
на (связь F).




Алиса Боб


Рис. 6.5. Риски при обмене документами между двумя сторонами
Итак, очевидно, что в процессе взаимной аутентификации

<< Пред. стр.

страница 16
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign