Атрибутные сертификаты

Лекция 16 Атрибутные сертификаты Сабанов Алексей Геннадьевич, к.т.н., доцент кафедры т ИУ-10 План презентации • Определения • Области использования • Основные внедрения • Примеры Атрибутный сертификат Атрибутный сертификат (АС) – стандартизованный электронный документ, созданный организацией и содержащий сведения о юридических фактах. АС создаются и изменяются в этих организациях. Создание АС инициируется уполномоченным должностным лицом организации (директором, начальником отдела кадров, руководителем делопроизводства и т.п.). АС содержит набор атрибутов, характеризующих данную организацию, ее должностных лиц, членство в некоторой группе, роль, признаки безопасности, авторизационную информацию, электронные документы организации и их метаданные и др. Владелец АС – субъект (физическое или юридическое лицо) или объект (например, документ), сведения о котором содержатся в одном или нескольких АС. Связь АС и его владельца, а также связь АС и иных ЭД (например, СКП) производится с помощью идентификатора, включаемого в АС однозначно идентифицирующего владельца по уникальному имени (СНИЛС, ИНН ..., уникального имени ЭД в ЭДО) или свёртки от ЭД. АС позволяет реализовать в организации разный жизненный цикл для статичных или оперативно изменяющихся данных (редко или часто изменяющихся сведений), сохраняя между ними однозначную, автоматически проверяемую и юридически значимую связь. АC: связь с PKI Атрибутный сертификат (АС, Attribute Certificate) — сертификат специального формата, который используется для связывания дополнительной информации с сертификатом открытого ключа. Атрибутные сертификаты позволяют управлять доступом на основе определенных принципов, ролей, должностей. АС представляет собой структуру данных, заверенных ЭП, и содержащую ссылку на один или несколько сертификатов открытых ключей одного и того же субъекта. Как правило, атрибутный сертификат содержит информацию о пользователе, группах доступа, в которых он состоит, а также его открытом ключе. Наличие таких сертификатов позволяет увеличить срок службы открытых ключей, а также существенно упростить работу с PKI. Например, держатель одного публичного ключа может иметь множественные права доступа. При смене прав доступа требуется перевыпустить только атрибутный сертификат, не изменяя сертификат открытого ключа. Privilege Management Infrastructure, PMI – инфраструктура управления привилегиями. Позволяет связать сертификаты PKI с предоставлением какихлибо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий. Связь АС с сертификатом ключа ЭП (СКП) Следует ли нагружать сертификат открытого ключа ролевой и иной информацией персонального или конфиденциального характера? • Полномочия могут меняться чаще, чем идентифицирующая информация (ФИО, СНИЛС, ИНН). • Полномочия могут действовать дольше, чем срок действительности СКП. • Организационная граница «Отдел кадров» - «Отдел режима», каждый со своими регламентами. • Явный конфликт с 152-ФЗ «О персональных данных». Все указанное в СКП становиться публичным. Реестр АС может не быть публичным. • Часто НЕТ способов внести в состав СКП при его создании именно ту информацию, которая будет требоваться на обрабатываемой стороне. Авторизация – это функция принимающей стороны. Сравнение PMI с PKI Инфраструктура управления привилегиями Инфраструктура открытых ключей Атрибутный сертификат Сертификат открытого ключа Источник доверия Корневой удостоверяющий центр Атрибутный центр Удостоверяющий центр Пользователи атрибутных сертификатов Пользователи сертификата открытого ключа Доверенная сторона Доверенная сторона Клиенты Клиенты Репозитории (CARL- Certificate Authority Revocation List) Репозитории (CRL- Certificate Revocation List) Что такое АС с технической стороны? • АС - двоичный блок данных в кодировке ASN.1 (такой же как и СКП), компиляторы для которой есть на рынке, в том числе с лицензиями Open Source. • Связь АС с владельцем осуществляется через атрибут holder. • Структура АС подобна сертификату Х.509. Основное отличие – АС не содержит открытого ключа и не предполагает создание ключевой пары. • Действительность АС ограничена только действительностью электронной подписи (ЭП) издателя АС, т.е. может иметь значительно более продолжительное время, чем сертификат ключа проверки (СКП) подписи. АС имеет инструменты досрочного аннулирования, приостановления и восстановления действительности. • АС применяется параллельно с PKI и не требуют переделки средств подписи, УЦ и др. существующих компонент PKI-инфраструктуры. • У АС очень длинная история как международного стандарта (с 2002 г.). Структура АС АС содержит девять полей: версия, владелец, издатель, идентификатор алгоритма подписи, серийный номер, период действия, атрибуты, уникальный идентификатор издателя и дополнения (см. ниже). Владелец атрибутного сертификата характеризуется подобно субъекту сертификата открытого ключа подписи, но может быть задан по имени, издателю и серийному номеру сертификата открытого ключа, либо при помощи хэш-кода сертификата или открытого ключа. |Версия (v.1 или v.2) | |Владелец сертификата | |Имя издателя | |Идентификатор алгоритма подписи | |Серийный номер | |Период действия (не ранее/не позднее) | |Атрибуты | |Уникальный идентификатор издателя | |Дополнения | Области использования АС • • Для описания правовых статусов (полномочий) должностных лиц организации. Для управления разграничением доступа к сетевым ресурсам или процедурой обработки защищенных ЭП ЭД с учетом полномочий, ролевых признаков и иных характеристик автора или субъекта доступа. • АС - метка целостности и актуальности, является «отзываемым» аналогом отсоединенной подписи. Используя механизмы управления временем действительности АС, позволяет технически обеспечить актуальность содержания документа. Бизнес-процессы, в которых ЭД имеют функции разрешения или лицензии на что-либо, выдаваемые на определенный срок и с возможностью отзыва, а также электронные выписки из различных реестров. • АС - защищенный контейнер, идеально подходит при обмене структурированной информацией между ИС («сырыми» данными, не оформленными в документ, имеющий визуальное представление), максимально пригодными к последующей машинной обработке. АС наиболее эффективны в публичном, межведомственном и трансграничном обмене, когда стороны не объединены единой системой ЭДО, и контрагентам для юридической значимости недостаточно получения ЭД и проверки ЭП Области использования АС Требование: Связка с владельцем. Реализация: 1. Различимое имя (ФИО+СНИЛС+ИНН) – возможность использования в «смешанном» документообороте 2. Свертка от данных (включая СКП) Продолжительность действия: Абсолютные значения «от» … «до» Возможность досрочного вывода АС из оборота: да Ссылка на информацию для автономной проверки статуса АС: 1. CDP – ссылка на основной список ACRL 2. FreshestCRL – ссылка на обновления delta ACRL для real-time систем Возможные статусы АС: Действительный, приостановленный, аннулированный. Способ защиты АС: Электронная подпись издателя АС Возможность указания атрибутов в машиночитаемом виде и комментарии: Да + очень гибкая структура атрибутов, включая возможность ввода человекочитаемых комментариев Один субъект может иметь неограниченное число АС: Да Сервис документирования процедуры проверки on-line статуса АС: Модернизированные стандартные протоколы OCSP и VPKC (из состава DVCS) АС: контейнер полномочий/доверенность Требование Связь с владельцем Продолжительность действия Возможность досрочного вывода АС из оборота. Информация для автономной проверки статуса АС Статусы АС Способ защиты АС Возможность указания атрибутов в машиночитаемом виде и комментарии Один владелец может иметь неограниченное число АС Сервис документирования процедуры проверки on-line статуса АС Реализация в АС 1. Различимое имя 2. Свертка от данных, включая СКП Абсолютное значение «от» … «до» Да Ссылки на основной список отозванных АС (ACRL) и на обновления (delta ACRL) к нему для real-time систем Действительный, приостановленный, аннулированный ЭП издателя АС Да. Очень гибкая структура атрибутов, включая возможность ввода теста Да Модернизированные протоколы OCSP и VPKC (из состава DVCS) Нормативная база • АС как стандартный технический инструментарий для указания дополнительной и ролевой информации, определён в RFC 5755, RFC 4476 и в Х.842 • Использование АС в ЕС регламентируются рядом стандартов, например: • ETSI TR 102 044 (Требования к указанию ролевых признаков и атрибутов) • ETSI TS 102 158 (Требования к политикам сервисов по выпуску АС, предназначенных для использования с квалифицированными сертификатами.) • «Атрибутные издатели» входят в европейский список доверенных сервисов и содержат квалифицированную (доверенную) информацию. Пример – список Польши https://www.nccert.pl/tsl/PL_TSL.xml: • Certification authority issuing Qualified Attribute Certificates • ГОСТ Р ИСО/ТС 2260-1-2009 Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1 Общие сведения и управление политикой. • Беларусь: ПОЛИТИКА ПРИМЕНЕНИЯ АТРИБУТНЫХ СЕРТИФИКАТОВ, изданных республиканским удостоверяющим центром Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь, Минск, 2016 год. Связь с владельцем АС связанный с владельцем СКП АС, связанный с абстрактными данными Вид связи, атрибут Holder 1. 2. Hash Уникальное имя DN 1. 2. Назначение 1. Полномочия в связке с ЭП владельца СКП Разграничение доступа, например для протокола TLS Метка целостности и актуальности. АС не содержит значимых атрибутов кроме holder Указание дополнительной информации, характеризующей владельца СКП Указание признака разграничения доступа 1. 2. Применимость 1. 2. 2. 3. Hash Возможно указание уникального имя объекта в дереве имен ЭДО Контейнер структурированных данных, максимально приспособленный к машинной обработке Указание дополнительной информации, характеризующей данные Обеспечение целостности данных (аналог отсоединенной подписи) Обеспечение отзывности данных при потере их актуальности (отзываемая отсоединенная подпись) Способы доставки АС Стандарт предполагает два способа получения АС принимающей стороной. • Режим PUSH, АС доставляется вместе с сообщением (АС может содержаться в ЭП) или в рамках сессии. • Режим PULL, принимающая сторона самостоятельно получает АС из Реестра издателя АС в рамках обработки ЭД с ЭП или процедуры разграничении доступа к элементам информационного дерева ресурса. Почему АС пока не распространен? • Слишком «общий» профиль СКП из Приказа ФСБ №795 • Неудачная ставка на фиксацию полномочий внутри СКП, что не противоречило первым редакциям 63-ФЗ. Привело к выпуску множества СКП разного назначения для одного и того же субъекта. • В настоящий момент декларируется, что единый СКП может быть использован во всех ИС, но вопрос фиксации и проверки полномочий «повис в воздухе». • Унаследованные ИС, особенно у регуляторов, где полномочия указываются в СКП или во внешних системах управления учётными данными (Idm - Identity management). • Миф о том, что использование АС приведет к переделке средств подписи и УЦ, их пересертификации и т.д., т.е. что всё, якобы, сложно, долго и дорого. • Игнорирование мирового опыта (например, Республики Беларусь, где с 2015 г. идет постепенное движение в сторону АС). Примеры внедрения 2010 г. ООО «Топ Кросс». Цель проекта - технология управления полномочиями на сервере обновлений ПО. АС имеет срок действия, равный договору сопровождения, и состав – перечень ПО, взятого на сопровождение. 2010 г. ООО «Таможенно-Брокерский Центр» Внутренняя ЭДО. АС – структурированная информация по предварительному декларированию таможенных грузов с обеспечением актуальности структуры. Контейнер в виде АС максимально приспособлен к защищенной транспортировке и машинной обработке. 2013 г. ООО РТО и Ассоциация Электронных Торговых Площадок Цель – использовать указания полномочий при трансграничном ЭДО на ЭТП. 2017 г. Группа компаний «ФИННЕТ-СЕРВИС» Целью проекта является создание модуля к «1С-Кадры» для инфраструктуры управления полномочиями в ЭДО с использованием атрибутных сертификатов. 2016-2018 гг. Пенсионный Фонд Российской Федерации Цель проекта – обеспечение юридической значимости при длительном хранении ЭД. В АС упакованы процессные метаданные, необходимые для обеспечения аутентичности ЭД. 2017-2018 гг. - Группа компаний «Центр открытых систем и высоких технологий» Цель проекта – повышение эффективности работы сотрудников Федерального агентства по печати и массовым коммуникациям за счет создания системы управления полномочиями, использующих атрибутные сертификаты. Международные проекты с АС - Projekt Globus https://en.wikipedia.org/wiki/Globus_Toolkit - VOMS (ang. Virtual Organization Membership Service) https://www.gridpp.ac.uk/wiki/Virtual_Organisation_Membership_Service https://www.gridpp.ac.uk/wiki/VOMS - Швейцария Swiss Health Card Association для карт пациентов и медработников , - Германия https://teleorbit.eu/de/explandict/attribut-zertifikat/ T-Mobile(Deutsche Telekom AG,), INTRASYS https://www.intarsys.de/sites/default/files/Dokumente/2015_Tutorial_AttributZertifikat_importieren.pdf и неверно в других областях , так как даже на сайтах областей публикуют объяснения https://www.altenburgerland.de/sixcms/detail.php?id=37512&_nav_id1=4867&_nav_id2=493 6#37623 - Бразилия https://valid.com/what-we-do/digital-certification/ Опыт Республики Беларусь С 18.02.2019 вступают в силу изменения в Закон об электронном документе и электронной цифровой подписи. Они направлены на расширение практики применения электронного документооборота в РБ. Скорректировано определение е-документа. Электронный документ — это один из видов документов в электронном виде. Он состоит из двух неотъемлемых частей: 1) общей — это непосредственно сам документ со всеми его реквизитами, за искл. даты документа, регистрационного индекса, резолюции, отметки о поступлении и др. реквизитов, кот-ые формируются после подписания документа ЭЦП; 2) особенной — это ЭЦП лиц, осуществивших согласование (визирование), подписание, утверждение электронного документа, а также реквизиты, формируемые после подписания (дата документа, регистрационный индекс и др.). Особая часть может теперь содержать штамп времени — реквизит электронного документа, удостоверяющий дату и время создания электронного документа и дополнительные данные, необходимые для проверки ЭЦП и идентификации электронного документа. Атрибутный сертификат устанавливает объем полномочий физлица, в том числе и ИП (далее — физлицо), по подписанию определенных видов электронных документов от имени организации или физлица, а также иные предоставленные ему полномочия (далее — полномочия). Одно и то же лицо может являться владельцем нескольких АС. Атрибутный сертификат должен содержать информацию о физлице, которому предоставлены полномочия; об организации или физлице, от имени которых физлицу предоставлены полномочия; о полномочиях, предоставленных физлицу от имени организации или другого физлица. ЮС е-документа в Республике Беларусь • Е-документ будет иметь ЮС в том числе в случае, если он был подписан: — в период действия сертификата открытого ключа независимо от того, был ли впоследствии отозван открытый ключ, указанный в сертификате; — ЭЦП физлица в соответствии с полномочиями, указанными в атрибутном сертификате; — от имени организации ЭЦП физлица и дополнительно ЭЦП организации. В этом случае атрибутный сертификат предоставлять не требуется. • Под копией электронного документа понимается форма внешнего представления электронного документа на бумажном носителе, удостоверенная в установленном порядке. Другими словами, это электронный документ, который отражен на бумажном носителе (распечатанный электронный документ). • Круг лиц, которые вправе удостоверять копию электронного документа: — организация или ИП, создавшие данный электронный документ; — организация, получившая электронный документ от другой организации посредством межведомственных информационных систем; — др. организации или физлица в случаях, предусмотренных законодательством РБ. • Владельцем открытого личного ключа ЭЦП могут быть организации, вправе применять ЭЦП: в качестве аналога оттиска печати организации; совместно с ЭЦП, владельцем личного ключа которой является физлицо, если сведений о его полномочиях атрибутный сертификат организации не содержит; для создания и (или) подписания электронных документов посредством АИС без участия физлица; в иных случаях, предусмотренных законодательством Республики Беларусь. Спасибо за внимание! Вопросы