Обеспечение совместимости применяемых технологий



Согласно Федеральному Закону «Об электронной цифровой подписи» в ряде случаев должны использоваться сертифицированные ФАПСИ СЭЦП, которые базируются на сертифицированных ФАПСИ СКЗИ. Однако Государственные стандарты, регламентирующие отечественные криптографические алгоритмы оставляют за разработчиком СКЗИ некоторую свободу в реализации. Данный факт послужил основой к тому, что по большей части сертифицированные ФАПСИ СКЗИ различных разработчиков несовместимы между собой и, как следствие, порождают несовместимость СЭЦП[2]. Помимо этого СЭЦП в рамках СУЦРФ должны подчиняться идеологии ИОК и ее регламентирующим документам, которые не утверждены в РФ ни как стандарты, ни даже как рекомендации. Решение этой задачи требует в рамках СУЦРФ проведения ряда мероприятий:

1. Провести разработку с последующим выпуском дополнений в соответствующих разделах международных рекомендаций как минимум следующих документов:

· «Состав сертификата открытого ключа ЭЦП». Данный документ должен регламентировать для УЦ и прикладных систем единую связку размещаемой в сертификате информации в рамках ФЗ «Об ЭЦП» Ст. 6 и представлением X.509 сертификата. Свое отражение должен найти и тот факт, что атрибут commonName сертификатов ресурсов и самих УЦ, которые хоть и получены на физические лица, может содержать характеристику (доменное имя, название и т.п.) ресурса. Для удовлетворения формальных требований ФЗ «Об ЭЦП» считать подобную запись псевдонимом, который размещен не в атрибуте pseudonym, а в commonName.

· Описание шифр-сюит с использованием отечественных криптографических алгоритмов (дополнение к RFC 2246).

· Описание представлений отечественных алгоритмов используемых в криптографических сообщениях (CMS) (дополнение к RFC 3370).

При разработке данных документов следует строго придерживаться положений и аналогий международных рекомендаций и стандартов.

2. Зарегистрировать в Российском дереве объектов, идентификаторы, определенные в результате разработки документов из состава предыдущего пункта.

3. Рекомендовать сертифицирующему органу ФСБ при проведении последующих сертификаций образцов СКЗИ особо учитывать факт совместимости как на уровне криптографических вычислений и представления данных, так и на уровне СЭЦП, если СКЗИ планируется к использованию в ИОК.

4. Создание сети развернутых публичных сервисов (электронный нотариат) и при этом осуществлять:

- проверку ЭЦП на электронном документе выполненную на различных СЭЦП с построением необходимых цепочек проверок сертификатов,

- выдачу заверенной доверенной стороной («электронным нотариусом») квитанции в криптосистеме заявителя о результате проведенной проверки.

 

Обеспечение подготовки специалистов

Для создания и поддержки функционирования инфраструктуры открытых ключей (ИОК) и удостоверяющих центров необходимо организовать обучение и переподготовку кадров.

В качестве первоочередных образовательных курсов представляется целесообразным определить следующие.

1. Концептуальные вопросы построения ИОК. В данном образовательном курсе ИОК рассматривается не только как технология, но в большей степени как инфраструктура, затрагивающая разнообразные стороны деятельности организаций и являющаяся неотъемлемой составной частью стратегии обеспечения информационной безопасности. Определяются основные сервисы ИОК: аутентификация, целостность, конфиденциальность. Рассматриваются вопросы экономической эффективности использования ИОК и объясняются ситуации, в которых использование ИОК нецелесообразно.

2. Сертификаты и сертификация в ИОК. В данном образовательном курсе объясняется назначение и порядок использования сертификатов электронных цифровых подписей. Рассматриваются вопросы аутентификации и регистрации пользователей, генерации, восстановления, хранения, обновления и уничтожения ключей и сертификатов. Анализируются модели функционирования и взаимодействия уполномоченного федерального органа, удостоверяющих центров, сертификат-сервис-прорвайдеров, потребителей ИОК, разъясняются проблемы кросс-сертификации.

3. Стандартизация и совместимость различных доменов ИОК. В данном образовательном курсе рассматриваются основные стандарты, на которых базируется ИОК: X.509, PKIX, X.500, LDAP, ISO TC68, S/MIME, IPsec, XML и др. Обсуждаются вопросы совместимости решений, используемых при построении ИОК.

Целесообразно также организовать разработку соответствующих учебных пособий.

Учебные программы могут быть реализованы на базе отраслевых ВУЗов и в лицензированных учебных центрах.

Ключевую роль в организации и проведении обучения пользователей ИОК и повышения квалификации специалистов, обслуживающих технические комплексы, может взять на себя АДЭ.

Функции элементов СУЦРФ

Функции Федерального МУЦ

Для мостового УЦ принципиальными являются тТри характерных элемента: являются принципиальными для мостового УЦ, в определенном смысле трансформирующим его по функциональности в ИОК решение портальноготипа[3]:

· Орган Управления Политиками ИОК национального масштаба (ЦУП);

· Самостоятельный УЦ мостового типа, который:

o Обеспечивает кросс-сертификацию с другими УЦ,

o Включает более чем один тип продуктов для УЦ/

· Мостовой депозитарий/хранилище (реестр) и службау директорий.

 

Каждая структурная компонента МУЦ предназначена для выполнения соответствующих функций:

· ЦУП:

o осуществляет надзор за работой МУЦ;

o подвергает экспертизе политику сертификатов заявителя на кросс-сертификацию и отображения политик;

o принимает решение о возможности рассмотрения заявок от федеральных или коммерческих структур на кросс-сертификацию с МУЦ.

· УЦ, образующие МУЦ:

o осуществляют типовой набор функций для внутренних нужд агенств, вовлеченных в обеспечение жизнедеятельности МУЦ;

o обеспечивают механизмы кросс-сертификации как внутри МУЦ, так и во внешние домены доверия, включая:

§ обработку запросов на кросс-сертификацию,

§ сопоставление и отображение в выдаваемых кросс-сертификатах политик (формируются как критичные и некритичные расширения),

§ публикацию кросс-сертификатовы в реестре;

o обеспечивают проверку текущего статуса сертификатов.

o осуществляют поддержку всего комплекса услуг службы директорий, включая:

§ обеспечение и поддержку систем справочников стандарта Х.500,

§ осуществление функций регистрации имен и объектных идентификаторов,

§ соблюдение политики доступа к внутреннему каталогу – реестру, а также к пограничному каталогу.


Дата добавления: 2018-04-04; просмотров: 85;