Certification authority issuing Qualified Attribute
Certificates
• ГОСТ Р ИСО/ТС 2260-1-2009 Информатизация здоровья. Управление
полномочиями и контроль доступа. Часть 1 Общие сведения и управление
политикой.
• Беларусь: ПОЛИТИКА ПРИМЕНЕНИЯ АТРИБУТНЫХ СЕРТИФИКАТОВ, изданных
республиканским удостоверяющим центром Государственной системы
управления открытыми ключами проверки электронной цифровой подписи
Республики Беларусь, Минск, 2016 год.
Связь с владельцем
АС связанный с
владельцем СКП
АС, связанный с абстрактными данными
Вид связи, атрибут
Holder
1.
2.
Hash
Уникальное имя DN
1.
2.
Назначение
1.
Полномочия в связке
с ЭП владельца СКП
Разграничение
доступа, например
для протокола TLS
Метка
целостности и
актуальности. А С
не содержит
значимых
атрибутов кроме
holder
Указание
дополнительной
информации,
характеризующей
владельца СКП
Указание признака
разграничения
доступа
1.
2.
Применимость
1.
2.
2.
3.
Hash
Возможно указание уникального имя
объекта в дереве имен ЭДО
Контейнер
структурированных
данных, максимально
приспособленный к
машинной обработке
Указание дополнительной информации,
характеризующей данные
Обеспечение целостности данных
(аналог отсоединенной подписи)
Обеспечение отзывности данных при
потере их актуальности (отзываемая
отсоединенная подпись)
Способы доставки АС
Стандарт предполагает два способа получения АС принимающей
стороной.
• Режим PUSH, АС доставляется вместе с сообщением (АС может
содержаться в ЭП) или в рамках сессии.
• Режим PULL, принимающая сторона самостоятельно получает
АС из Реестра издателя АС в рамках обработки ЭД с ЭП или
процедуры разграничении доступа к элементам
информационного дерева ресурса.
Почему АС пока не распространен?
• Слишком «общий» профиль СКП из Приказа ФСБ №795
• Неудачная ставка на фиксацию полномочий внутри СКП, что не
противоречило первым редакциям 63-ФЗ. Привело к выпуску
множества СКП разного назначения для одного и того же субъекта.
• В настоящий момент декларируется, что единый СКП может быть
использован во всех ИС, но вопрос фиксации и проверки полномочий
«повис в воздухе».
• Унаследованные ИС, особенно у регуляторов, где полномочия
указываются в СКП или во внешних системах управления учётными
данными (Idm — Identity management).
• Миф о том, что использование АС приведет к переделке средств
подписи и УЦ, их пересертификации и т.д., т.е. что всё, якобы, сложно,
долго и дорого.
• Игнорирование мирового опыта (например, Республики Беларусь, где
с 2015 г. идет постепенное движение в сторону АС).
Примеры внедрения
2010 г. О ОО «Топ Кросс». Цель проекта — технология управления полномочиями на
сервере обновлений ПО. А С имеет срок действия, равный договору сопровождения,
и состав – перечень ПО, взятого на сопровождение.
2010 г. О ОО «Таможенно-Брокерский Центр» Внутренняя ЭДО. А С –
структурированная информация по предварительному декларированию
таможенных грузов с обеспечением актуальности структуры. Контейнер в виде АС
максимально приспособлен к защищенной транспортировке и машинной
обработке.
2013 г. О ОО РТО и Ассоциация Электронных Торговых Площадок Цель –
использовать указания полномочий при трансграничном ЭДО на ЭТП.
2017 г. Группа компаний «ФИННЕТ-СЕРВИС» Целью проекта является создание
модуля к «1С-Кадры» для инфраструктуры управления полномочиями в ЭДО с
использованием атрибутных сертификатов.
2016-2018 гг. Пенсионный Фонд Российской Федерации Цель проекта – обеспечение
юридической значимости при длительном хранении ЭД. В АС упакованы
процессные метаданные, необходимые для обеспечения аутентичности ЭД.
2017-2018 гг. — Группа компаний «Центр открытых систем и высоких технологий»
Цель проекта – повышение эффективности работы сотрудников Федерального
агентства по печати и массовым коммуникациям за счет создания системы
управления полномочиями, использующих атрибутные сертификаты.
Международные проекты с АС
— Projekt Globus https://en.wikipedia.org/wiki/Globus_Toolkit
— VOMS (ang. Virtual Organization Membership Service)
https://www.gridpp.ac.uk/wiki/Virtual_Organisation_Membership_Service
https://www.gridpp.ac.uk/wiki/VOMS
— Швейцария Swiss Health Card Association для карт пациентов и медработников ,
— Германия https://teleorbit.eu/de/explandict/attribut-zertifikat/
T-Mobile(Deutsche Telekom AG,), INTRASYS
https://www.intarsys.de/sites/default/files/Dokumente/2015_Tutorial_AttributZertifikat_importieren.pdf
и неверно в других областях , так как даже на сайтах областей
публикуют объяснения
https://www.altenburgerland.de/sixcms/detail.php?id=37512&_nav_id1=4867&_nav_id2=493
6#37623
— Бразилия https://valid.com/what-we-do/digital-certification/
Опыт Республики Беларусь
С 18.02.2019 вступают в силу изменения в Закон об электронном документе и
электронной цифровой подписи. Они направлены на расширение практики применения
электронного документооборота в РБ. Скорректировано определение е-документа.
Электронный документ — это один из видов документов в электронном виде. Он
состоит из двух неотъемлемых частей:
1) общей — это непосредственно сам документ со всеми его реквизитами, за искл.
даты документа, регистрационного индекса, резолюции, отметки о поступлении и
др. реквизитов, кот-ые формируются после подписания документа ЭЦП;
2) особенной — это ЭЦП лиц, осуществивших согласование (визирование), подписание,
утверждение электронного документа, а также реквизиты, формируемые после
подписания (дата документа, регистрационный индекс и др.). Особая часть может
теперь содержать штамп времени — реквизит электронного документа,
удостоверяющий дату и время создания электронного документа и дополнительные
данные, необходимые для проверки ЭЦП и идентификации электронного документа.
Атрибутный сертификат устанавливает объем полномочий физлица, в том числе и ИП
(далее — физлицо), по подписанию определенных видов электронных документов от
имени организации или физлица, а также иные предоставленные ему полномочия (далее
— полномочия). Одно и то же лицо может являться владельцем нескольких АС.
Атрибутный сертификат должен содержать информацию о физлице, которому
предоставлены полномочия; об организации или физлице, от имени которых физлицу
предоставлены полномочия; о полномочиях, предоставленных физлицу от имени
организации или другого физлица.
ЮС е-документа в Республике Беларусь
• Е-документ будет иметь ЮС в том числе в случае, если он был подписан:
— в период действия сертификата открытого ключа независимо от того, был ли
впоследствии отозван открытый ключ, указанный в сертификате;
— ЭЦП физлица в соответствии с полномочиями, указанными в атрибутном
сертификате;
— от имени организации ЭЦП физлица и дополнительно ЭЦП организации. В этом
случае атрибутный сертификат предоставлять не требуется.
• Под копией электронного документа понимается форма внешнего представления
электронного документа на бумажном носителе, удостоверенная в установленном
порядке. Другими словами, это электронный документ, который отражен на
бумажном носителе (распечатанный электронный документ).
• Круг лиц, которые вправе удостоверять копию электронного документа:
— организация или ИП, создавшие данный электронный документ;
— организация, получившая электронный документ от другой организации посредством
межведомственных информационных систем;
— др. организации или физлица в случаях, предусмотренных законодательством РБ.
• Владельцем открытого личного ключа ЭЦП могут быть организации, вправе применять
ЭЦП: в качестве аналога оттиска печати организации; совместно с ЭЦП, владельцем
личного ключа которой является физлицо, если сведений о его полномочиях
атрибутный сертификат организации не содержит; для создания и (или) подписания
электронных документов посредством АИС без участия физлица; в иных случаях,
предусмотренных законодательством Республики Беларусь.
Спасибо за внимание!
Вопросы
Информационный обмен между изолированными системами
Сергей Муругов,генеральный директор ООО «Топ Кросс»
Постановка задачи
Исходящая и соответственно входящая информация для информационных систем организаций представляет собой более сложную структуру, нежели просто электронный документ, пусть даже с ЭЦП. В соответствии с действующим ГОСТ Р ИСО 15489-1-2007, помимо содержания документ должен иметь соотнесенные с контентом метаданные, отражающие операции деловой деятельности, и быть постоянно связанным или объединенным с ними. Такого рода метаданные, сопровождающие документ, должны содержать указания, обеспечивающие пригодность документа для последующего его использования, отражающие возможность локализации и поиска документа, воспроизводимости электронного документа техническими средствами визуализации.
Еще одна очень важная отличительная особенность обращения электронных документов — это то, что в ряде случаев документ имеет период действительности, то есть информация, содержащаяся в документе, может потерять свою актуальность, к тому же часто возникает потребность, вызванная спецификой деловой активности, в преждевременном отзыве документа. Наиболее яркий пример таких документов — различного рода разрешения.
Все сказанное, безусловно, накладывает определенные требования на техническую реализацию информационного контейнера электронного документа, который был бы способен к аудиту и документированию и являлся бы защищенной транспортной оболочкой для исходящей/входящей документации юридического лица во взаимодействии разнородных информационных систем, автоматизирующих процессы деловой активности. Очевидно, что фактический состав, структура контейнера будет отражать специфику прикладной области, но можно выделить некоторые общие правила при выборе технической реализации контейнера:
Очевидно, что привычный всем формат ЭЦП в виде CMS или PKCS#7 или «подпись с расширенными данными для проверки» по ETSI TS 101 733 в явном виде не сможет обеспечить все вышеперечисленные требования.
Одним из вариантов решения данной задачи может выступать использование в качестве такого рода контейнера атрибутного сертификата в соответствии с международными рекомендациями RFC 3281, допускающими такой режим использования атрибутного сертификата.
Возможные области применения
По предварительному анализу некоторых видов деловой активности можно явно выделить приложения использования такого рода контейнера («удостоверяющего свидетельства»):
Архитектура компонент-системы, использующей атрибутные сертификаты
В общем виде можно выделить следующие принципы:
В этом случае обеспечивается:
Выводы
Денис КОПЫЛОВ, технический директор ООО «Топ Кросс»
На сегодняшний день инфраструктура открытых ключей (PKI) является, по сути, основной платформой для развертывания различных высокотехнологичных сервисов и услуг, в том числе относящихся к «электронному государству». За последние десять лет данная технология прошла путь «с нуля» до законодательно обоснованного инструмента, позволяющего строить защищенные информационные системы в масштабах страны. Но инструмент этот далеко не прост, и одной из серьезных задач, с которыми обязательно столкнутся разработчики и внедряющие такие системы, будет стандартизация средств и способов размещения ролевой дополнительной информации о субъектах информационного обмена в системах, основанных на PKI.
Носителями «основной» информации — данных, позволяющих идентифицировать субъекта, — могут выступать решения типа социальной карты, создание и внедрение которых уже ведется (и в дальнейшем будет только добавлять значимости упомянутой выше
задаче). Причин для такой зависимости несколько. Чтобы рассмотреть их подробнее, попробуем для начала прорисовать общую картину.
Имеется инфраструктура, основанная на PKI, основная услуга которой — выдача пользователям персональных цифровых носителей, содержащих данные, идентифицирующие пользователя.
Имеется также неопределенный и потенциально неограниченный круг информационных систем (таких, как банки, операторы сотовой связи, государственные учреждения), по разным причинам заинтересованных в обслуживании пользователей. У каждой из таких информационных систем существуют свои требования и ограничения, касающиеся объема дополнительной информации, необходимой для обслуживания пользователей.
Традиционно такая информация собирается обслуживающими системами параллельно и независимо друг от друга. Данный подход имеет ряд существенных недостатков с точки зрения каждого из участников информационного обмена:
Итог для обслуживающих организаций: масса накладных расходов, которых можно избежать, грамотно используя современные технологии.
Итог для пользователя: качество обслуживания, далекое от идеального.
Само собой напрашивается решение включить информацию, необходимую прикладной системе, в состав сертификата пользователя. И это решение, как самое очевидное, уже нашло свое применение во многих корпоративных системах. Однако такой подход не является идеальным даже в рамках корпорации, а в постановке для публичных систем и вовсе неприменим:
Услуги Доверенной третьей стороны
Однако ситуация вовсе не является тупиковой. Достаточно вспомнить о том, что технология PKI является продуктом международного сотрудничества и давно и активно используется за рубежом.
Рекомендации X.842 Международного союза электросвязи (МСЭ, ITU — International Telecommunication Union) определяют набор сервисов и услуг, в совокупности составляющих Доверенную третью сторону (ДТС). В списке сервисов ДТС присутствует сервис атрибутирования, пример технической реализации которого приведен в международных рекомендациях RFC 3281.
Данные рекомендации вводят понятие атрибутного сертификата (АС), криптографически однозначно связанного с сертификатом открытого ключа. Атрибутных сертификатов может быть несколько, каждый из которых содержит сгруппированную информацию, определяющую роль ранее идентифицированного субъекта.
Использование атрибутных сертификатов для представления дополнительных данных о пользователе позволит организовать один или несколько тематически разделенных реестров ограниченного доступа, за наполнение которых будут отвечать уполномоченные органы, а прикладные ИС будут выступать только в качестве пользователя услуги по получению ролевой информации из доверенного источника.
В этом случае ДТС фактически будет являться тем «единым окном», через которое происходит официальное наполнение, изменение и получение дополнительной информации о пользователе.
Описанный способ размещения дополнительной информации не накладывает никаких ограничений на способы представления данных внутри прикладных информационных систем. Вместе с тем:
Идея сервиса атрибутирования лежит в общем русле технологии PKI и является ее естественным развитием и приложением. На данный момент имеются примеры успешного внедрения данного сервиса как для организации разграничения доступа к массивам данных, так и для представления учетных данных пользователей внутри прикладных систем. Более того, в одной из стран ЕС есть пример использования АС совместно с квалифицированными сертификатами.
