Построить Цепочку Доверия В Pki – Это Так Просто?

Инфраструктура открытых ключей (PKI) — достаточно популярная технология обеспечения целостности и доказательства авторства в различных ИТ-системах.

Иногда человек, сидящий за компьютером, даже не подозревает о ее использовании, как это происходит при проверке целостности программы при ее установке на компьютер.

Технология PKI не нова.

Если считать с момента появления алгоритма Меркла для распределения ключей, то технологии уже 42 года, если считать с момента появления RSA, то 39 лет. В любом случае возраст впечатляет. За это время технология существенно развилась и позволяет создавать солидный список сервисов для других приложений и пользователей.

Сами службы регулируются рядом стандартов: серия X.500 представляет собой серию стандартов ITU-T (1993) для служб каталогов распределенных сетей, а серия RFC (запрос на комментарии) представляет собой документ из серии пронумерованных Информационные документы Интернета, охватывающие технические спецификации и стандарты, широко используемые во Всемирной паутине.

Более того, серия RFC является первичной.

Основная часть RFC PKI была выпущена RSA, одним из отцов-основателей технологии PKI.



PKI и ее стандарты

Отдельно следует упомянуть всевозможные национальные стандарты и нормативные требования, например, в РФ это ФЗ-63, приказы ФСБ России № 795 и 796 и другие производные от них.

Следует учитывать, что разнообразие стандартов RFC и описанных в них функций PKI породило несколько организационно-нормативных подходов к построению инфраструктуры PKI в конкретной стране.

Для иллюстрации приведем список сервисов PKI, описанных в стандарте X.842:

  • Услуги по управлению ключами
  • 1 служба генерации ключей
  • 2 Служба регистрации ключей
  • Служба сертификации 3 ключей
  • 4 Служба распространения ключей
  • Служба установки 5 ключей
  • 6 Служба хранения ключей
  • 7 Служба получения ключей
  • 8 Служба архивирования ключей
  • 9 Служба отзыва ключей
  • 10 Служба уничтожения ключей
  • Службы управления сертификатами
  • 1 служба сертификации открытых ключей
  • 2 Служба атрибутов привилегий
  • 3 Служба онлайн-аутентификации на основе сертификатов
  • 4 Служба отзыва сертификатов
  • Электронные нотариальные государственные услуги
  • 1 Служба сбора доказательств
  • 2 Служба хранения доказательств
  • 3 Арбитражная служба
  • 4 Нотариальный орган
  • 5 Служба электронного цифрового архивирования
  • Другие услуги
  • 1 служба каталогов
  • Служба идентификации и аутентификации
  • 1 служба онлайн-аутентификации
  • 2 Служба автономной аутентификации
  • 3 Служба встроенной аутентификации
  • 4 Служба онлайн-переводов
  • Услуги восстановления
  • 1 Услуги по восстановлению ключей
  • 2 Услуги по восстановлению данных
  • 5 Служба персонализации
  • 6 Служба контроля доступа
  • 7 Служба сообщения об инцидентах и управления оповещениями
Результатом такого разнообразия стало безобразие в национальных стандартах отдельных стран.

Результатом является набор проблем совместимости между различными решениями в отдельных странах и, очень часто, невозможность выстроить цепочку доверия между двумя пользователями технологии PKI в разных странах.



Цепочка сертификации и цепочка доверия

Прежде чем рассматривать вопрос о методах построения трансграничного доверия, хотелось бы рассмотреть вопрос построения цепочки доверия внутри страны на примере Российской Федерации.

Для этого я кратко опишу, как вообще строится базовая инфраструктура PKI и какие существуют методы обеспечения доверия к PKI. Доверие в PKI строится на принципе гарантии – например, если два человека не знают друг друга, но хотят вступить в отношения, требующие взаимного доверия, они ищут третьего человека, которому они оба могут доверять и который даст гарантии.

каждый из них выше другого.

Эквивалент такого человека в PKI называется доверенной третьей стороной.

Одной из областей применения PKI является обеспечение юридической значимости электронного документооборота.

То есть обеспечение возможности доверять электронной подписи под электронным документом.

Но следует уточнить, что обеспечение юридической значимости требует выполнения ряда условий, одним из которых является построение цепочки сертификации.

В рамках данной статьи хотелось бы подробно рассмотреть лишь процедуру построения цепочки сертификации и ее взаимосвязь с цепочкой доверия.

Цепочка доверия между людьми выстраивается путем выстраивания цепочки сертификации.

Это делается следующим образом: аккредитованный удостоверяющий центр выступает третьей доверенной стороной.

Это юридическое лицо, имеющее один или несколько комплектов оборудования, выполняющее функции удостоверяющего центра.

Аккредитация означает, что данное юридическое лицо соответствует ряду требований законодательства, имеет соответствующие лицензии ФСБ, Минкомсвязи и иногда ФНС России, правильно оборудованные помещения, обученный персонал с соответствующими дипломами и сертифицированным программным обеспечением и оборудование в роли сертификационного центра (ЦС).

Итак, данный удостоверяющий центр уполномочен государством подтверждать вашу электронную подпись другим лицам.

Процедура подтверждения вашей электронной подписи удостоверяющим центром представляет собой процесс создания цепочки сертификации, поскольку сертификат ЦС также подписывается Главным удостоверяющим центром (ГКУ), который является единой точкой доверия.

Что такое электронная подпись и как она работает — вопрос, выходящий за рамки данной статьи; об этом можно прочитать в других источниках.

Чтобы этот УЦ точно сказал, что это ваша подпись на документе, вам необходимо прийти в центр регистрации этого УЦ и предоставить свой открытый ключ, запрос на сертификат, паспорт и ряд других документов.

В результате вы получите сертификат открытого ключа, подписанный ключом этого ЦС.

Аналогом этому являются 2-я и 3-я страницы внутреннего паспорта гражданина РФ, там же указана Ваша уникальная подпись, ФИО и указано, какой орган удостоверил эти данные.

Но есть небольшое отличие – в случае с паспортом доверие к его предъявителю строится через подтверждение подлинности самого паспорта, а затем через указанные в нем данные.

В электронном мире принято доверять центру сертификации только в том случае, если оба пользователя, пытающиеся связаться друг с другом, обслуживаются этим центром сертификации.

Если у каждого пользователя есть свой ЦС, возникает проблема доверия между ЦС.

Есть несколько способов решить эту проблему; путь ниже подразумевает перекрестную сертификацию между центрами сертификации разных пользователей.

Этот путь хорош, когда ЦС не так много, но если каждое ведомство развернет свой УЦ, то получится ситуация, которая возникла в РФ к 2002–2005 гг.

: УЦ много по всей стране, но единого пространства нет. доверия, поскольку перекрестная сертификация среди 800 ЦС — вещь технически нереальная.

И тут возникает вопрос – как построить единое пространство доверия в отдельной стране, чтобы оно работало.

Подход, который используется в РФ и не только, заключается в создании Главного удостоверяющего центра (государственного) (ГУ), подписывающего его сертификатом все сертификаты УЦ в стране, как результат – построение цепочки доверия путем проверки действительность всех сертификатов в подписи через GCA. Этот подход подразумевает, что проверяется подпись пользователя, валидность сертификата пользователя и валидность всех сертификатов в цепочке (CA-GCA).

В разных странах действительность сертификатов проверяется по-разному.

В Эстонии и Украине для этого необходимо обратиться в службу OCSP/TSP Главного Центра, которая ответит, действителен ли сертификат или истек срок его действия или сертификат отозван.

В России для проверки нужно запросить список сертификатов отзыва (CRC) у каждого ЦС в цепочке и проверить, что сертификат в нем не указан.

Пожалуй, наиболее проработанным вариантом построения системы PKI следует считать схему с использованием мостообразующего CA, в том виде, в котором она применяется в США.

Федеральный мостообразующий CA США (мост) содержит несколько базовых сервисов, о функциях которых стоит рассказать в отдельной статье.



Сложности
На этом этапе начинаются трудности.

Первая трудность.

Бывает, что сертификат пользователя заполнен неправильно и не соответствует требованиям законодательства, в этом случае его необходимо переоформить.

Как правило, такая проблема возникает по вине сотрудника ЦС, который неправильно ее заполнил, а у пользователя возникают проблемы, когда он не может им нормально пользоваться.

Вторая трудность.

В законодательстве указано, что ЦС является юридическим лицом, и ЦС должен подписать сертификат этого ЦС.

Ситуация, когда одно юридическое лицо имеет несколько комплексов УЦ и несколько сертификатов этих УЦ, в законах толком не прописана.

Этим пользуются центры сертификации, часть сертификатов не подписываются сертификатом центра сертификации и делают их в лучшем случае самовыдаваемыми - когда цепочку до центра сертификации можно построить только по имени центра сертификации в сертификате - или вообще самоподписанный – когда связи между сертификатами одного ЦС технически не существует, она существует только на бумаге.

Третья трудность.

В случае отзыва сертификата УЦ обязан добавить его в список отозванных сертификатов (CRL), эта обязанность прописана в RFC, если они приняты в качестве стандарта в стране, или в регламенте Государственного УЦ.

, которого обязаны придерживаться все аккредитованные центры сертификации.

В случае, когда SOS (CRL) велик, ЦС для удобства пользователей выдает дельта CRL (deltaCRL) с изменениями за короткий период. Правила GTC предусматривают периодичность обновления в 12 часов или при отзыве сертификатов.

На самом деле различные центры сертификации публикуют свои SOS по своему усмотрению; есть некоторые центры сертификации, которые обновляют их раз в несколько месяцев.

Либо SOS подписывается ключом, не связанным с сертификатом CA, что также сводит к нулю вероятность построения цепочки доверия.

Постепенно возникает проблема с обработкой самих SOS; за время существования СА они уже стали довольно большими по размерам, но дельта-СОС почти никто не производит. Сложность четыре, связано.

Построение цепочки доверия в PKI так или иначе требует общения с CA и GTC и работы онлайн.

Оффлайн работа не предусмотрена.

Есть ряд мест и приложений, где работа с подписями и сертификатами в автономном режиме была бы очень полезна.

Не вся территория РФ покрыта качественным интернетом, и каждый лишний переданный байт воспринимается болезненно, так как бьет по кошельку.

Сложность пять, техническая.

Иногда программно-аппаратные комплексы ЦС по-прежнему содержат ошибки в логике и реализации; это также может повлиять на построение цепочки доверия.

И только если эти проблемы не встречаются на пути пользователя, следует выстраивать цепочку доверия.

В случае использования сервисов OCSP/TSP также существуют проблемы, но это тема для отдельной статьи.

Теги: #PKI #Криптография #информационная безопасность #стандарты #информационная безопасность #Криптография #ИТ-стандарты

Вместе с данным постом часто просматривают:

Автор Статьи


Зарегистрирован: 2019-12-10 15:07:06
Баллов опыта: 0
Всего постов на сайте: 0
Всего комментарий на сайте: 0
Dima Manisha

Dima Manisha

Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.