ООО Топ Кросс


 
 Служба атрибутирования / Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI)

Служба базируется на международных рекомендациях RFC 5755, которые вышли в 2010 году в обновление RFC 3281 от 2002 года.

Служба атрибутирования решает две задачи:

  • Позволяет осуществить криптографическую связь сертификата ключа подписи с дополнительной информацией, защищенной ЭЦП, определяющей роль владельца сертификата в ИС, например, для целей разграничения доступа, размещения персональной информации, размещения информации уточняющей полномочия и т.п. И в этом качестве может рассматриваться как Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) Справочно, дополнительную информацию о Инфраструктуре управления привилегиями можно получить по адресу http://ru.wikipedia.org/wiki/Инфраструктура_управления_привилегиями. Главное замечание, PMI является инфраструктурой, которая существует наряду с PKI, а не как часть PKI.

  • Позволяет осуществить криптографическую связь между абстрактным блоком данных и дополнительной информацией (метаданными), например, такой атрибутный контейнер можно ассоциировать с электронным документом вместе с метаданными при межсистемном (межведомственном) информационном обмене. Дополнительно, используемая технология позволяет (ЭЦП/ЭП в виде CMS или PKCS#7, или «подпись с расширенными данными для проверки» по ETSI TS 101 733 не может это обеспечить) ввести понятие срока действительности документа, включая механизмы экстренного признания размещенной в контейнере информации недействительной. Данное уникальное свойство может быть использовано при выпуске электронных разрешений, например, импортно карантинные разрешения, лицензии (в том числе и на программное обеспечение) и т.п.

1. Атрибутные сертификаты, связанные с сертификатом открытого ключа

Синтаксис X.509 цифровых сертификатов определяет возможность размещения в теле сертификата дополнительной информации о субъекте, владельце сертификата и технически для этого нет ни каких препятствий. Однако, логика функционирования автоматизированных систем, использующих дополнительную информацию о субъекте доступа в качестве авторизационной или персональной информации, приводит к тому, что увеличивается частота отзывов действительных сертификатов исключительно по причине изменения именно данной составляющей информации о субъекте. Сама идентификационная информация, такая как Ф.И.О. как правило меняется редко. Также часто при формировании цифрового сертификата пользователя встречаются ситуации, при которых организационно проведена граница между процедурой идентификации пользователя и получения достоверной дополнительной информации о пользователе, к которой сотрудники УЦ проводящие идентификацию по ряду причин могут не иметь доступ, по аналогии - существует "Отдел кадров" и "Отдел режима", определяющий регламент доступа. Дополнительным препятствием по вводу персональной информации (которая может иметь статус конфиденциальной или для служебного пользования) в сертификат открытого ключа, является обязательное размещение сертификата в Реестре, причем для публичных систем в режиме свободного доступа.

Из всего изложенного выше следует, что для реальных систем возможно процедурно разграничить операции по выпуску сертификатов открытого ключа (сертификатов цифровой подписи) с проведением идентификации пользователя и процедур по выпуску специальных сертификатов, не содержащих открытый ключ, но имеющих информацию о аутентификационных и дополнительных атрибутах пользователя. Такого рода сертификаты называют атрибутными (АС).

Основное логическое отличие: сертификат открытого ключа - это "электронный паспорт" длительного использования, связывающий персону и открытый ключ, а АС - "электронный пропуск" с указанием достоверной информации (возможно короткоживущей, исчисляемой часами) требуемой для данного вида "пропуска", и назначение которого не проведение идентификационных процедур, а источник дополнительной информации об уже идентифицированном субъекте.

Субъект доступа может иметь несколько АС разного назначения с не противоречащей информацией как внутри одного домена, так для ресурсов публичной сети.

Области использования.

АС могут быть использованы различными службами безопасности по разграничению доступа к ресурсам, определения уровня привилегий, эталонным источником персональной информации о субъекте для прикладного уровня и т.п. В данном контексте сертификат открытого ключа обеспечивает идентификацию субъекта, а связанный с ним АС определяет роль субъекта на прикладном уровне. АС также может выступать источником достоверной информации дополняющей информацию о субъекте из состава сертификата открытого ключа. Например, детализация policy в сертификате открытого ключа, указывающие на особые условия действительности ЭЦП/ЭП, выработанной с использованием открытого ключа подписи в конкретной автоматизированной системе или в банковской системе, где сертификат открытого ключа выпущен не в УЦ банка (банк может даже и не иметь собственного УЦ), а АС содержит атрибуты счета клиента банки и связан с внешне изданным сертификатом открытого ключа.

Следующий пример, ниже приведён слайд из презентации нашего партнёра Unizeto Technologies S.A. демонстрирующий способ указания полномочий автора ЭЦП/ЭП при использовании квалифицированных сертификатов физических лиц и реестра полномочий для юридического лица, нечто аналогичное у нас ЕГЮРЛ, в котором зафиксированы сотрудники юрлица имеющие право выступать от имени юрлица без доверенности.

Для клиент-серверных решений АС могут использоваться и для субъекта и для объекта доступа. протокол получения АС не определен в RFC и может быть любым, например, LDAP(s) или HTTP(s). В общем случае АС могут применяться не только в клиент-серверных системах, например, АС может содержаться в S/MIME контексте и в этом случае участники почтовой переписки являются и субъектами и объектами доступа одновременно.

Помимо упорядоченной логики в выпуске сертификатов, использование Сервера атрибутных сертификатов существенно удешевляет обслуживание корпоративных ИОК - нет необходимости постоянно перевыпускать сертификаты ключа подписи при любых сменах привилегий, достаточно просто первыпустить атрибутный сертификат.в содержании

2. Атрибутные сертификаты, связанные с информационным объектом

Исходящая и, соответственно, входящая информация для информационных систем организаций представляет собой более сложную структуру нежели просто электронный документ, пусть даже с ЭЦП/ЭП. В соответствии с действующим ГОСТ Р ИСО 15489-1-2007 помимо содержания, документ должен иметь соотнесенные с контентом метаданные, отражающие операции деловой деятельности, и быть постоянно связанным или объединенным с ними. Такого рода метаданные сопровождающие документ должны содержать указания, обеспечивающие пригодность документа для последующего его использования, отражающие возможность локализации и поиска документа, воспроизводимости электронного документа техническими средствами визуализации.

Еще одна очень важная отличительная особенность обращения электронных документов – это то, что в ряде случаев документ имеет период действительности, т.е. информация, содержащаяся в документе может потерять свою актуальность, к тому же часто возникает потребность, вызванная спецификой деловой активности, в преждевременном отзыве документа. Наиболее яркий пример такого рода документов – различного рода разрешения.

Все сказанное, безусловно накладывает определенные требования на техническую реализацию информационного контейнера электронного документа, который бы был способен к аудиту и документированию и являлся бы защищенной транспортной оболочкой для исходящей (входящей) документации юридического лица во взаимодействии разнородных информационных систем, автоматизирующих процессы деловой активности. Очевидно, что фактический состав, структура контейнера будет отражать специфику прикладной области, но можно выделить некоторые общие правила при выборе технической реализации контейнера:

  • Контейнер должен иметь механизмы защиты целостности данных и идентификации источника данных.

  • Язык описания и правил кодирования контейнера должны быть в достаточной степени универсальным, позволяющим описывать сложные структуры и типы данных. В качестве примера такого языка может выступать XML (при выборе языка, следует иметь в виду, что в РФ (насколько известно) отсутствует государственный стандарт на XML) или ASN.1 (существует целое семейство действующих стандартов).

  • Контейнер должен иметь признак, по которому информацию (включая и метаданные) в нем содержащуюся можно было бы ассоциировать с событием или информацией, например, серийный номер события в системе, наименование события, свертка от конкретного исходного документа и т.п.

  • В целом ряде случаев характеристики деловой активности требуют возможность указания периода действительности информации в контейнере, а также возможность преждевременного вывода его из документального обращения.

Очевидно, что привычный всем формат ЭЦП/ЭП в виде CMS или PKCS#7, или «подпись с расширенными данными для проверки» по ETSI TS 101 733 в явном виде не сможет обеспечить все вышеперечисленные требования.

Одним из вариантов решения данной задачи может выступать использование в качестве такого рода контейнера атрибутного сертификата в соответствии с международными рекомендациями RFC3281, допускающими такой режим использования атрибутного сертификата. В разделе 7.3 RFC 3281 указано: «В некоторых случаях может потребоваться чтобы атрибутный сертификат (АС) не был привязан ни к личности владельца, ни к сертификату открытого ключа. В таком случае возможно использование варианта objectDigestInfo поля holder… Смысл данного варианта поля holder в том, чтобы обеспечить связь АС и некоторого объекта, которому он «принадлежит» посредством указания значения хэш-функции от данного объекта. Такой подход, например, позволяет связывать АС с исполняемыми объектами, такими как Java классом».

Возможные области применения

По предварительному анализу некоторых видов деловой активности можно явно выделить приложения использования такого рода контейнера («удостоверяющего свидетельства»):

  1. Бизнес-процессы, в которых исходящие (входящие) документы имеют свойство разрешения на что либо. Например, в задачах фитосанитарного контроля импортное карантинное разрешение (ИКР) в полной мере может быть в электронном виде представлено средствами «удостоверяющего свидетельства». В этом случае решаются требования и сложной вложенной структуры самого документа и метаданных ИКР, с указанием периода его действительности, а также возможности у Россельхознадзора отозвать конкретный ИКР с автоматическим выводом его из действительного оборота, например, в случаях выявления заболевания в отдельном регионе поставки и т.п.

  2. Различного рода выписки из Реестров, Кадастров и т.п., например, выписка из реестра юридических лиц. Действует в течение 6 месяцев, но с переводом ее формы в электронный вид с учетом свойств «удостоверяющего свидетельства» выписка может приобрести новые качества – при изменении записи в реестре юридических лиц она может быть досрочно отозвана, что безусловно повысит степень доверия и актуальности выписки, уменьшит число обращений за выписками, а также будет способствовать уменьшению различных мошеннических действий с данной информацией.

  3. В системах, аналогичных Интернет-банкингу. Аутентификация пользователя и действительность платежного поручения определяется криптографическими свойствами ЭЦП/ЭП и защищенного соединения на ключах, сертификат которого выдан во внешнем по отношению к банковской системе УЦ (возможно даже в рамках государственных программ), а фактическая информация о счете пользователя оформляется в виде криптографически связанного с сертификатом открытого ключа атрибутного сертификата или сертификатов в случае управления пользователем несколькими счетами. Такая конструкция позволяет банковской системе оперативно управлять вплоть до блокирования счетами пользователя не вмешиваясь в механизмы идентификации субъекта, которые, в общем виде могут быть внешними по отношению к банковской системе.

  4. Электронная лицензия на программное обеспечение или иную информацию, причем в таком варианте использования автоматически решается задача контроля целостности и неизменности программного обеспечения или иной информации.

  5. В системах, где «удостоверяющее свидетельство» - электронный документ, определяет правила допуска к конкретной информации в соответствии с определенным регламентом. В этом случае, разносятся процедуры идентификации субъекта и назначения конкретных (возможно временных или отзываемых) полномочий по доступу к информации, что может определяться только владельцем информации. Данное приложение особенно актуально в условиях централизованной идентификации субъектов информационного обмена, например, в рамках программ, аналогичных программе «Социальная карта».

  6. Для обмена сведениями о физических и юридических лицах с уполномоченными органами (кредитными организациями, государственными агентствами, ведомствами, министерствами), например для приема различных заявлений от физических лиц (дистанционным способом), а также в банковской деятельности на территории РФ в соответствии с положениями 115-ФЗ п.1, 1.3 и п. 31. ст.7.


Служба атрибутирования / Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) © 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей