LINEBURG


<< Пред. стр.

страница 24
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Удостоверяющий Центр (рис. 8.6) построен по модульному
принципу и содержит следующие компоненты:
• Службу Реестра (СР);
• Центр регистрации (ЦР);
• Центр сертификации (ЦС);
• Центр арбитража (ЦА);
• Криптографический Процессор (КП);
• Абонентские пункты (АП).
Служба Реестра обеспечивает публикацию, организацию сво-
бодного доступа и хранение электронных сертификатов и списков
аннулированных сертификатов, выпущенных ЦС. Доступ к храни-
лищу сертификатов осуществляется по протоколу LDAP. Служба
Реестра взаимодействует с Центром сертификации для поддержа-
ния актуальности базы данных и вносит информацию о сертифика-
тах и изменении их статуса в сетевые справочники сертификатов
и списки аннулированных сертификатов.
Центр регистрации обеспечивает получение, предваритель-
ную обработку и хранение внешних запросов о выдаче и аннулиро-
вании сертификатов, а также их передачу Центру сертификации.
Для обслуживания запросов на разбор конфликтных ситуаций
Центр регистрации взаимодействует с Центром арбитража, при-
чем верификация цифровой подписи на электронном документе
трактуется как конфликтная ситуация.
К функциям Центра регистрации также относятся хранение
журналов событий в течение срока, предусмотренного регламентом
системы, и резервное копирование на внешние носители локального
архива. Центр регистрации - это единственный управляющий ком-
понент системы, имеющий непосредственный выход в публичную
сеть.
Центр сертификации взаимодействует с Криптографиче-
ским Процессором для генерации секретных и открытых ключей
пользователей, выпуска сертификатов формата Х.509 v3 и измене-




PDF created with pdfFactory Pro trial version www.pdffactory.com
208 Основы технологии PKI


ния их статуса, проверки подлинности цифровых подписей на элек-
тронных документах и проставления меток времени.
Центр сертификации выполняет обработку запросов от Цен-
тра регистрации на создание ключей и сертификатов, обеспечивает
управление жизненным циклом ключей и сертификатов, доступ к
базе данных Центра арбитража при разборе конфликтных ситуа-
ций, подготовку информации о сертификатах и списках аннулиро-
ванных сертификатов к ее опубликованию Службой Реестра.




Рис. 8.6. Структурная схема У Ц

Центр сертификации поддерживает в системе установлен-
ную регламентом политику безопасности, в том числе управление
доступом обслуживающего персонала к данным и программным мо-
дулям системы на базе устанавливающих полномочия атрибутных
сертификатов, хранение журналов событий в течение установленного
срока, резервное копирование локального архива на внешние но-
сители.
Центр арбитража выполняет обработку запросов из Центра
регистрации на разбор конфликтных ситуаций, поддерживает базу
данных «историй» разбора конфликтов, а также по обращениям або-
нентов официально подтверждает подлинность цифровых подписей




PDF created with pdfFactory Pro trial version www.pdffactory.com
8. Программные средства поддержки PKI _____________ 209


на тех электронных документах, которые подписаны при помощи
ключей подписи сертификатов, выданных Центром сертификации.
Для верификации цифровых подписей Центр арбитража взаимо-
действует с Криптографическим Процессором (через Центр сер-
тификации).
Центр арбитража обеспечивает регистрацию и принятие ре-
шений по конфликтным и спорным ситуациям в процессе использо-
вания сертификатов, а также формирование структурированных
данных о результатах разбора конфликтных и спорных ситуаций.
К функциям Центра регистрации также относятся ведение журнала
работы, хранение «историй» разбора конфликтных ситуаций и жур-
налов событий в течение срока, предусмотренного регламентом сис-
темы, и резервное копирование локального архива на внешние носи-
тели.
Криптографический Процессор - автономный модуль, кото-
рый принимает заявки на выполнение криптографических процедур
и взаимодействует с Центром сертификации через отдельный фи-
зический интерфейс. Сервис, обслуживающий запросы от Центра
сертификации, предоставляет строго определенный, ограниченный
набор функций. Функциональное обособление Криптографическо-
го Процессора обеспечивает независимость системы от криптогра-
фических алгоритмов, поставщика криптографических средств
и уровня требований к криптографической подсистеме.
Криптографический Процессор выполняет генерацию соб-
ственной пары ключей подписи и создание самоподписанного кор-
невого сертификата, секретный ключ всегда хранится под защитой
Криптографического Процессора. По запросам от Центра серти-
фикации осуществляется:
1) генерация и передача секретных ключей и сертификатов
ключей подписи пользователей. Секретные ключи пользователей
шифруются при помощи ключей, поступающих из Центра серти
фикации вместе с запросом.
2) создание и подписание сертификатов открытых ключей
подписи пользователей. Открытые ключи пользователей поступают
вместе с запросами на сертификаты из Центра сертификации.




PDF created with pdfFactory Pro trial version www.pdffactory.com
210 ___________________Основы технологии PKl _________________


3) создание электронной цифровой подписи на блоке данных
при помощи секретного ключа Криптографического Процессора.
4) проверка электронной цифровой подписи на блоке данных
для известного открытого ключа, который поступил вместе с запро
сом на верификацию подписи из Центра сертификации.
В Криптографическом Процессоре реализованы алгоритмы:
• электронной цифровой подписи: RSA (PKCS#1, RFC 2437),
DSA (FIPS 186-1) и ГОСТ Р 34.10-94;
• хэширования: MD5 (RFC 1321), SHA-1 (FTPS 181, RFC 3174)
и ГОСТ Р 34.11-94;
• согласования ключей Диффи-Хеллмана.
Средства электронной цифровой подписи встроены в Крипто-
графический Процессор и по требованиям регламента системы
Удостоверяющий Центр могут встраиваться в другие компоненты
комплекса, например абонентские пункты.
Абонентский пункт предназначен для административного
управления компонентами Удостоверяющего Центра, кроме того,
может выступать клиентской частью PKI-системы на базе про-
граммного комплекса «Вепрь». Абонентский пункт позволяет фор-
мировать запросы на выдачу сертификатов и списков аннулирован-
ных сертификатов из базы данных Службы Реестра, просматривать
содержание сертификатов и САС, осуществлять поддержку локаль-
ной базы сертификатов и функций экспорта/импорта сертификатов,
создавать бумажные копии сертификатов ключей подписи, а также
выполняет дополнительные функции наложения цифровой подписи
на блок данных и проверки ЭЦП на блоке данных. Абонентский
пункт может использоваться в качестве рабочего места администра-
тора ЦА, ЦР и ЦС.
Циркуляция информации между компонентами УЦ осуществ-
ляется на базе заверенных цифровой подписью запросов в формате
CMC [98].
Удостоверяющий Центр корпоративной информационной
системы реализован на платформах Unix и Linux и обеспечивает:
1. Регистрацию и обслуживание запросов пользователей на
создание цифровых сертификатов, секретных и открытых ключей.




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки PKI ______________ 211


Запрос может быть представлен в гипертекстовой форме (онлайно-
вая регистрация), в форматах PKCS#10 и CRMF [92].
2. Создание цифрового сертификата пользователя и его под
писание секретным ключом УЦ на базе российских криптографиче
ских алгоритмов (функции хэширования - ГОСТ Р34.11-94, цифро
вой подписи - ГОСТ Р34.10-94, шифрования и выработки имитов-
ставки - ГОСТ 28147-89). Возможен раздельный выпуск сертифика
тов ключей подписи и шифрования. Цифровые сертификаты соот
ветствуют международным рекомендациям Х.509 v.3 и могут выда
ваться в форматах PKCS#12, DER или РЕМ.
3. Ведение реестра сертификатов открытых ключей и списка
аннулированных сертификатов на базе каталога LDAP и организа
ция свободного доступа к нему пользователей.
4. Оперативное управление сертификатами (ввод в действие,
приостановление и возобновление действия, аннулирование). Раз
граничение доступа к административным ресурсам осуществляется
на основе анализа содержания цифровых сертификатов лиц, ответ
ственных за информационную безопасность (офицеров безопасно
сти). Сертификаты офицеров безопасности содержат специальные
мандатные метки, характеризующие полномочия конкретного лица
и уровень принятия решения.
5. Техническую поддержку разбора конфликтных ситуаций.
УЦ обеспечивает ведение заверенной «истории жизни» сертификата.
Любое событие в жизненном цикле сертификата, будь то централи
зованное принятие решения о выпуске сертификата или изменение
статуса уже выпущенного сертификата, оформляется в виде специ
альной записи (в формате CMC) в «истории» сертификата и имеет
ЭЦП инициатора принятия решения. Взаимосвязанные записи ха
рактеризуют всю «историю жизни» сертификата. Управление исто
риями сертификатов позволяет эффективно решать задачи разбора
конфликтных ситуаций.
Дополнительно УЦ предоставляет общедоступный сервис
«службы времени», обеспечивает проставление меток времени на
электронных документах и верификацию цифровых подписей на
электронных документах в отношении сертификатов, выпущенных
этим центром.




PDF created with pdfFactory Pro trial version www.pdffactory.com
212 Основы технологии PKI


Заключение
В современных условиях защищенный обмен сообщениями,
надежная идентификация и электронная коммерция невозможны без
инфраструктуры безопасности. В настоящее время наиболее успеш-
ным методом обеспечения цифровой идентичности является исполь-
зование цифровых сертификатов в соответствии с международным
стандартом Х.509 и стандартами Интернет. Инфраструктура безо-
пасности для распространения открытых ключей, управления элек-
тронными сертификатами и ключами пользователей получила на-
звание инфраструктуры открытых ключей.
Инфраструктура открытых ключей представляет собой ком-
плексную систему, обеспечивающую все необходимые сервисы для
использования технологии открытых ключей. Цель PKI состоит
в управлении ключами и сертификатами, посредством которого
корпорация может поддерживать надежную сетевую среду. PKI
позволяет использовать сервисы шифрования и выработки
цифровой подписи согласованно с широким кругом приложений,
функционирующих в среде открытых ключей. Технология PKI счи-
тается единственной позволяющей применять методы подтвержде-
ния цифровой тождественности при работе в открытых сетях [30].
Концепция инфраструктуры открытых ключей сама по себе не
нова. Международный союз по телекоммуникациям уже много лет
назад разработал стандарты на структуру баз данных, записи в кото-
рых содержали информацию о пользователях. Стандарты играют
существенную роль в развертывании и использовании PKI. Стан-
дартный подход особенно важен при регулировании процедур реги-
страции и выработки ключа, задании формата сертификата и списка
аннулированных сертификатов, формата криптографически защи-
щенных данных и описании онлайновых протоколов.
Во многих странах происходит пересмотр законодательства
в сфере инфраструктур открытых ключей и цифровых подписей.
Основной смысл предложений заключается в повышении доверия к
использованию цифровых подписей в качестве юридического инст-
румента.




PDF created with pdfFactory Pro trial version www.pdffactory.com
Заключение 213


Следование стандартам технологии цифровых сертификатов
является необходимым условием успешного проектирования и раз-
вертывания эффективных инфраструктур открытых ключей, обеспе-
чивающих масштабируемые и полностью распределенные решения
для управления доступом и безопасности электронного документо-
оборота.
Развертывание PKI целесообразно для крупных территориаль-
но распределенных организаций, где необходимо наладить контро-
лируемую защиту документов и серверов при использовании разно-
образных приложений.
Основной риск, возникающий при использовании PKI, заклю-
чается в возможной неудаче при оказании PKI-услуг вследствие не-
достаточной функциональной совместимости программных и аппа-
ратных продуктов различных производителей. Система PKI должна
легко интегрироваться с технологиями браузеров, а также приклад-
ными системами, которые она должна поддерживать. Ключевой
проблемой при этом является степень сложности интеграции соот-
ветствующих PKI-функций во вновь создаваемые приложения,
а также в уже имеющиеся прикладные системы.
Продукты и услуги для поддержки PKI предлагаются на рынке
целым рядом компаний. Одни компании производят комплексное
программное обеспечение, которое может быть использовано для ор-
ганизации собственного удостоверяющего центра и управления сер-
тификатами, другие предоставляют услуги удостоверяющего центра,
обеспечивая работу и управляя серверами сертификатов в своих
офисах, доступ к которым клиенты получают через Интернет.
С каждым годом возрастает важность технологии PKI для
корпоративной среды, для реализации компаниями защищенного
обмена сообщениями, электронной коммерции, виртуальных част-
ных сетей и даже однократной регистрации. Сегодняшний бизнес
все в большей степени начинает использовать эту технологию, обес-
печивающую высокий уровень безопасности и способствующую
более тесному взаимодействию с партнерами, поставщиками и по-
требителями.




PDF created with pdfFactory Pro trial version www.pdffactory.com
214 Основы технологии РК1


ПРИЛОЖЕНИЕ 1. НАБОР
ПОЛОЖЕНИЙ ПОЛИТИКИ PKI
1. Введение
1.1. Краткий обзор
1.2. Идентификация
1.3. Сообщество и сфера приложения
1.3.1. Удостоверяющие центры
1.3.2. Регистрационные центры
1.3.3. Конечные субъекты
_______1.3.4. Сфера приложения _____
1.4. Контактная информация
1.4.1. Спецификация администрации организации
1.4.2. Контактное лицо
1.4.3. Лицо, определяющее соответствие регламента поли
тике
2. Основные положения
2.1. Обязательства
2.1.1. Обязательства УЦ 2 Л .2.
Обязательства РЦ 2.1.3.
Обязательства подписчика
_______2.1.4. Обязательства доверяющей стороны
2.2. Ответственность
2.2.1. Ответственность У Ц
_______2.2.2. Ответственность РЦ
2.3. Финансовая ответственность
2.3.1. Возмещение ущерба доверяющими сторонами
2.3.2. Фидуциарные отношения
_______2.3.3. Административные процессы _______________
2.4. Интерпретация и исполнение
2.4.1. Государственное право
2.4.2. Раздельность положений
_______2.4.3. Процедуры решения споров
2.5. Плата за услуги
2.5.1. Плата за выпуск и повторный выпуск сертификата
2.5.2. Плата за доступ к сертификату
2.5.3. Плата за доступ к информации об аннулировании и
статусе сертификата
2.5.4. Плата за другие услуги
2.5.5. Политика компенсации




PDF created with pdfFactory Pro trial version www.pdffactory.com
Приложение 1________________________ 215

2.6. Публикация и реестр
2.6.1. Публикация информации УЦ
2.6.2. Частота публикации
2.6.3. Контроль доступа
2.6.4. Реестры
2.7. Аудит деятельности субъектов
2.7.1. Частота проверок для каждого субъекта
2.7.2. Личность/квалификация аудитора
2.7.3. Отношение аудитора к субъекту
2.7.4. Темы, охватываемые аудитом
2.7.5. Действия в результате обнаружения нарушений
О 7 А А ил ТТ1Г7 пАчх/тп-тятгт
2.7.6. Анализ результатов
2.8. Конфиденциальность
2.8.1. Виды данных, хранимых конфиденциально
2.8.2. Виды данных, не относящихся к конфиденциальной
информации
2.8.3. Раскрытие информации о причинах аннулирования
или приостановления действия сертификатов
2.8.4. Политика раскрытия информации официальным
представителям правоохранительных органов
2.8.5. Раскрытие информации для гражданских судебных
исков
2.8.6. Раскрытие информации по запросу ее собственника
2.8.7. Другие обстоятельства раскрытия информации
2.9. Права на интеллектуальную собственность
3. Идентификация и аутентификация
3.1. Начальная регистрация
3.1.1. Типы имен
3.1.2. Многозначность имен
3.1.3. Правила интерпретации различных форм имени
3.1.4. Уникальность имен
3.1.5. Процедура разрешения споров о праве на имя
3.1.6. Признание, аутентификация и роль торговых марок
3.1.7. Доказательство владения секретным ключом
3.1.8. Аутентификация юридического лица
_______ 3.1.9. Аутентификация физического лица ______________
3.2. Обычное возобновление ключа
3.3. Повторный выпуск ключа после аннулирования
3.4. Запрос об аннулировании ключа




PDF created with pdfFactory Pro trial version www.pdffactory.com
216 Основы технологии PKI

4. Операционные требования
4.1. Запрос о выдаче сертификата
4.2. Выпуск сертификата
4.3. Принятие сертификата
4.4. Приостановление и аннулирование сертификата
4.4.1. Обстоятельства аннулирования сертификата
4.4.2. Круг лиц, имеющих право подавать запрос об анну
лировании
4.4.3. Процедуры запроса об аннулировании
4.4.4. Срок запроса об аннулировании
4.4.5. Обстоятельства приостановления сертификата
4.4.6. Круг лиц, имеющих право подавать запрос о приос
тановлении
4.4.7. Процедуры формирования запроса о приостановле
нии
4.4.8. Ограничения на срок приостановления
4.4.9. Частота выпуска САС
4.4.10. Требования к проверке САС
4.4.11. Возможность проверки аннулирования/статуса
сертификата в оперативном режиме

<< Пред. стр.

страница 24
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign