Удостоверяющий центр e-Notary. Общее описание

Термины и определения
Введение
Основы строгой аутентификации. Уникальное имя
Сертификаты

Номер версии сертификата
Серийный номер сертификата
Алгоритмы
Сведения об издателе сертификата (УЦ)
Сведения о Подписчике сертификата
Период действия сертификата
Открытый ключ Подписчика сертификата
Расширения

Аварийный пароль - пароль для экстренной связи Подписчика сертификата с Администратором Удостоверяющего центра, используемый Подписчиком для оповещения Администратора о компрометации своего секретного ключа.

Администратор Удостоверяющего центра (Администратор УЦ) – уполномоченный представитель Удостоверяющего центра, ответственный за выполнение операций по изготовлению и обслуживанию сертификатов Подписчиков.

Владелец сертификата ключа подписи (Подписчик сертификата) – физическое или юридическое лицо, на имя которого Удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). В контексте инфраструктуры открытых ключей Владелец сертификата ключа подписи также может именоваться Подписчиком.

Закрытый (секретный) ключ – уникальная последовательность символов, известная Подписчику сертификата соответствующего открытого ключа и предназначенная для создания электронной цифровой подписи и расшифрования информации с использованием криптографических средств.

Запрос сертификата - электронный документ, содержащий открытый ключ с параметрами алгоритма и сведения о Подписчике сертификата, заверенные его электронной цифровой подписью.

Защищенный сервис – системы защищенного взаимодействия на базе PKI, имеющие различное прикладное назначение.

Инфраструктура открытых ключей (Public Key Infrastructure - PKI) - интегрированный набор служб и средств администрирования для создания и развертывания приложений, использующих криптографию с открытыми ключами; обеспечивает функции управления открытыми ключами.

Компрометация ключа – констатация Подписчиком сертификата обстоятельств, при которых возможно несанкционированное использование его секретного ключа неуполномоченными лицами.

Криптографическая защита - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.

Криптографические ключи – общее название открытых и закрытых (секретных) ключей.

Оператор Регистрационного центра (Оператор РЦ) - уполномоченный представитель Регистрационного центра, ответственный за выполнение операций по идентификации, аутентификации, проверке полномочий Подписчиков и передаче сформированных ими запросов сертификатов Администратору УЦ.

Организатор – закрытое акционерное общество «Сигнал-КОМ» - организатор Удостоверяющего центра e-Notary.

Открытый ключ - уникальная последовательность символов, соответствующая закрытому (секретному) ключу, доступная Пользователям сертификатов и предназначенная для подтверждения подлинности электронной цифровой подписи и зашифрования информации с использованием криптографических средств.

Плановая смена ключей - регламентируемая Администратором УЦ периодическая смена криптографических ключей Подписчиков, Уполномоченного лица УЦ, Операторов РЦ, не вызываемая их компрометацией.

Подписчик (Владелец) сертификата – лицо, которому Удостоверяющим Центром изготавливается сертификат открытого ключа и которое владеет соответствующим закрытым (секретным) ключом.

Пользователь сертификата - физическое лицо, использующее полученные в Удостоверяющем центре сведения о сертификате открытого ключа для проверки принадлежности электронной цифровой подписи Подписчику данного сертификата и для зашифрования адресованной ему информации.

Портал Удостоверяющего центра e-Notary (Портал УЦ) - информационный Web-ресурс УЦ e-Notary, содержащий всю необходимую информацию об Удостоверяющем центре и оказываемых им услугах; на Портале УЦ расположен Интернет-магазин, через который пользователи могут заказать сертификаты и программное обеспечение, необходимое для формирование ключей и запросов на сертификаты, а также для поддержки защищенных сервисов.

Регистрационный центр (РЦ) – опциональный субъект PKI, отвечающий за идентификацию и аутентификацию Подписчиков при изготовлении сертификатов, но не подписывающий и не выпускающий сертификаты (УЦ делегирует РЦ часть своих полномочий); обладает необходимым комплексом программно-технических средств электронной цифровой подписи и шифрования для организации защищенного канала связи, обеспечивающего достоверную передачу запросов сертификатов Подписчиков в УЦ.

Сертификат открытого ключа (сертификат, сертификат ключа подписи) – электронный документ или документ на бумажном носителе, выданный Удостоверяющим центром и подтверждающий принадлежность открытого ключа электронной подписи владельцу сертификата; включает в себя открытый ключ, информацию о владельце соответствующего ему закрытого ключа, сведения об УЦ, выдавшем сертификат, дополнительные атрибуты (расширения), определяемые требованиями использования сертификата ключа подписи в защищенной системе и др.

Список Отозванных Сертификатов (СОС) - перечень серийных номеров сертификатов открытых ключей, выведенных из обращения (аннулированных); формируется Удостоверяющим центром и заверяется электронной цифровой подписью Уполномоченного лица УЦ.

Средство криптографической защиты информации (СКЗИ) - средство криптографической защиты информации, включающее библиотеку криптографических преобразований и комплекс вспомогательных программных модулей из состава СКЗИ «Крипто-КОМ 3.2», сертифицированного ФСБ России по требованиям безопасности информации к классам «КС1» и «КC2» (сертификаты соответствия №№ СФ/124-1715 от 04.10.2011 г., СФ/124-1697 от 15.07.2011, СФ/114-1551, СФ/114-1552, СФ/124-1553, СФ/124-1554 от 07.11.2010 г., СФ/124-1337 от 05.06.2009 г.).

Cредства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Удостоверяющий центр (УЦ) – юридическое лицо, осуществляющее функции по изготовлению и обслуживанию сертификатов ключей подписи, а также иные функции, предусмотренные N63-ФЗ "Об электронной подписи" от 06.04.2011г.; по заявлению Подписчиков сертификатов Удостоверяющий центр может формировать для них ключи с гарантией сохранения в тайне закрытого ключа Подписчика.

Уполномоченное лицо Удостоверяющего центра (Уполномоченное лицо УЦ) – сотрудник УЦ, являющийся владельцем сертификата ключа подписи УЦ и наделенный Удостоверяющим центром полномочиями по заверению сертификатов открытых ключей и списков отозванных сертификатов.

УЦ e-Notary – корпоративный Удостоверяющий центр ЗАО «Сигнал-КОМ», построенный на базе сертифицированного ФСБ России программно-аппаратного комплекса (ПАК) Удостоверяющего центра «Notary-PRO» версии 2.6 (сертификат ФСБ России №СФ/128-1351 от 15.07.2009г.).

Участник PKI – общее название Подписчиков и Пользователей сертификатов.

Шифрование информации (шифрование) - взаимнооднозначное математическое (криптографическое) преобразование информации, зависящее от ключа (секретный параметр преобразования), которое ставит в соответствие блоку открытой информации блок зашифрованной информации.

Электронная подпись (ЭП) - информация в электронном виде, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Видами электронных подписей, отношения в области использования которых регулируются Федеральным законом №63-ФЗ «Об электронной подписи» от 06.04.2011г., являются простая и усиленная электронная подпись.

Электронная цифровая подпись (ЭЦП) - разновидность электронной подписи, реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа и позволяющий идентифицировать Подписчика сертификата, а также установить отсутствие искажения информации в электронном документе.

В основу системы администрирования Удостоверяющего центра e-Notary положены принципы строгой аутентификации, принятые в Рекомендации ITU-T X.509 v.3 и базирующиеся на свойствах семейства криптографических систем, известных как криптосистемы с открытым ключом (PKCS). В отличие от обычных криптосистем, использующих один ключ, криптосистемы с открытым ключом предполагают наличие у пользователя парных ключей - секретного и открытого (общедоступного).

Процедура идентификации и установления подлинности источника информации называется аутентификацией.

Аутентификация опирается на наличие у каждого Подписчика сертификата уникального имени, отличного от имен всех остальных пользователей. Присвоение уникальных имен находится в компетенции центра по распределению имен. Поэтому каждый Участник PKI должен доверять этому центру в том, что тот не повторит дважды одного и того же имени.

Уникальное имя (Distinguished Name в терминологии X.509) представляет собой набор атрибутов (см. Таблицу 1), совокупность которых, будучи включенной в сертификат, однозначно идентифицирует владельца сертификата:

Состав и количество заполняемых полей в уникальном имени определяются Администратором УЦ и могут быть различными для разных сертификатов. За достоверность и правильность информации, включаемой в уникальное имя, несет ответственность Администратор УЦ.

Каждый Подписчик идентифицируется с помощью своего секретного ключа. С помощью парного открытого ключа любой Пользователь сертификата имеет возможность определить, является ли его партнер по связи подлинным владельцем секретного ключа. Степень достоверности факта установления подлинности зависит от надежности хранения секретного ключа и надежности источника поставки открытых ключей пользователей.

Процедура, позволяющая каждому пользователю устанавливать однозначное и достоверное соответствие между открытым ключом и его владельцем, обеспечивается механизмом сертификации открытых ключей.

Для того чтобы Пользователь сертификата мог доверять процессу аутентификации, он должен извлекать открытый ключ Подписчика из надежного источника, которому он доверяет. Таким источником в X.509 является Удостоверяющий центр (certification authority), обеспечивающий формирование сертификатов открытых ключей.

Сертификат обладает следующими свойствами:

• каждый Пользователь сертификата, имеющий доступ к открытому ключу Удостоверяющего центра, может извлечь открытый ключ, включенный в сертификат;
• ни одна сторона, помимо Удостоверяющего центра, не может изменить сертификат так, чтобы это не было обнаружено (сертификаты нельзя подделать).

Так как сертификаты не могут быть подделаны, их можно опубликовать, поместив в общедоступный справочник, не требуя от последнего специальных усилий по защите этих сертификатов.

Формат сертификатов, определенный требованиями Х.509, включает следующую информацию:

• номер версии сертификата;
• серийный номер сертификата;
• идентификатор алгоритма, используемого для подписи УЦ;
• сведения об издателе сертификата (УЦ);
• период действия сертификата, состоящий из двух дат: начала и конца периода;
• сведения о Подписчике сертификата или об объекте системы, однозначно идентифицирующие его в рамках данной системы;
• информацию об открытом ключе Подписчика или объекте системы: идентификатор алгоритма и собственно открытый ключ;
• дополнительные атрибуты (расширения), определяемые требованиями использования сертификата в системе;
• ЭЦП Удостоверяющего центра.

Каждый Подписчик является владельцем одного или нескольких сертификатов, сформированных УЦ. Открытый ключ Подписчика может быть извлечен из сертификата любым Пользователем, знающим открытый ключ Администратора УЦ.

УЦ e-Notary поддерживает возможность формирования сертификатов двух версий – v.1 и v.3. Номер версии сертификата определяется, исходя из наличия в сертификате расширений, описанных в RFC 3280 [2] (при отсутствии расширений, номер версии сертификата устанавливается равным 1, при наличии расширений – 3).

Серийный номер сертификата представляет собой последовательность символов в шестнадцатеричном виде, уникальную для каждого сертификата, сформированного данным УЦ.

УЦ e-Notary поддерживает следующие алгоритмы ЭЦП:

ГОСТ Р 34.10-2001	- в соответствии с [4];
RSA	- в соответствии с [6];
DSA	- в соответствии с [7].

Сведения об издателе сертификата включают информацию об УЦ (либо конкретном Администраторе УЦ), заверившем и выпустившем данный сертификат. Сведения представляются в виде совокупности атрибутов уникального имени, представленных в Таблице 1.

Сведения о Подписчике сертификата также представляют собой совокупность атрибутов уникального имени (согласно Таблице 1), позволяющих однозначно установить владельца сертификата ключа подписи. Состав и количество заполняемых полей уникального имени определяются регламентом работы защищенной прикладной системы и могут быть различными для разных пользователей.

При наличии региональных центров регистрации запросов на сертификаты за достоверность и правильность информации о Подписчике, включаемой в уникальное имя, несет ответственность региональный Администратор Регистрационного центра, сформировавший запрос на сертификат. УЦ поддерживает уникальность имен лишь в контексте данного Удостоверяющего центра; при использовании распределенной иерархической системы администрирования необходимо предпринимать меры по координации действий различных УЦ в части присвоения уникальных имен.

Период действия сертификата определяется двумя датами – датой начала действия сертификата и датой окончания действия сертификата. Обе даты в составе сертификата отображаются в формате среднего времени по Гринвичу (GMT).

Открытый ключ Подписчика сертификата отображается в сертификате в виде последовательности символов в шестнадцатеричном представлении совместно с идентификатором и параметрами используемого алгоритма ЭЦП.

Дополнительные сведения, включаемые в сертификат, могут использоваться для указания дополнительной информации о владельце или издателе сертификата, сведений об области применимости сертификата, отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение, средствах ЭЦП, с которыми может использоваться данный сертификат, и т.д. Указанные дополнительные сведения включаются в сертификат в составе стандартных расширений, определенных в рекомендации RFC 3280 [2].

Перечень стандартных расширений, поддерживаемых УЦ e-Notary, приведен в Таблице 2:

Помимо расширений, указанных в Таблице 2, УЦ e-Notary поддерживает также все расширения Netscape, согласно "Netscape Certificate Extensions. Communicator 4.0 Version" [8].

Каждое из приведенных выше расширений может являться критичным (critical) либо некритичным (non-critical). Правила обработки сертификатов, изложенные в RFC 3280, требуют от прикладного ПО отвергнуть сертификат, если в его состав включено критичное расширение, которое не может быть интерпретировано и обработано средствами прикладного ПО. В том случае, если при обработке сертификата прикладное ПО не может интерпретировать некритичное расширение, данное расширение может быть проигнорировано.

Открытые ключи Подписчиков сертификатов передаются на регистрацию и последующую сертификацию в Удостоверяющий центр в составе запроса на сертификат. Запросы на сертификаты могут формироваться приложениями, построенными на базе СКЗИ “Крипто-КОМ 3.2”.

Запрос сертификата формируется Подписчиком и представляет собой следующий набор информации:

• запрашиваемое имя;
• информацию об открытом ключе, включающую идентификатор двуxключевого алгоритма и собственно открытый ключ;
• дополнительную информацию (необязательно).

Эта информация подписывается секретным ключом Подписчика; при этом запрос может быть:

• самоподписанным, т.е. подписанным секретным ключом, парным открытому ключу, включенному в запрос;
• подписанным любым другим секретным ключом Подписчика (таким, парный открытый ключ которого был ранее сертифицирован в УЦ и период действия его сертификата еще не истек).

Запрашиваемое имя представляет собой набор атрибутов, подобный уникальному имени. Запрашиваемое имя формируется Подписчиком и может быть включено в сертификат в виде уникального имени только после проверки на достоверность.

УЦ e-Notary поддерживает запросы сертификатов в следующих форматах:

• PKCS #10 в соответствии с [9];
• MSIE (Microsoft Internet Explorer);
• SPKAC (Netscape Navigator/Communicator).

Сертификаты имеют период действия, однако любой сертификат может быть выведен из обращения (отозван) до истечения этого периода, если:

• соответствующий сертификату секретный ключ Подписчика скомпрометирован;
• Подписчик - владелец сертификата больше не обслуживается данным УЦ;
• изменились атрибуты Подписчика сертификата;
• скомпрометирован ключ УЦ, использованный при формировании сертификата.

Удостоверяющий центр должен информировать Пользователей об отозванных сертификатах. Для этой цели он поддерживает список отозванных сертификатов (СОС) или список отмены.

Список отозванных сертификатов представляет собой подписанный Удостоверяющим центром блок информации, содержащий:

• идентификатор алгоритма подписи;
• уникальное имя УЦ;
• период действия (даты начала и конца периода);
• список, представляющий собой последовательность пар: серийный номер сертификата, дата отзыва.

Список отозванных сертификатов должен всегда существовать, даже если он пуст.

Допустимо существование одновременно нескольких списков, например, с перекрывающимися периодами или подписанных разными ключами УЦ.

При работе с открытыми ключами Пользователям сертификатов необходимо иметь справочник открытых ключей всех Подписчиков. Доведение этой информации до Пользователей и обновление справочника является задачей Администратора УЦ.

При регистрации нового Подписчика или при выводе из действия ранее зарегистрированных ключей, в общем случае все Пользователи должны обновлять свои локальные справочники открытых ключей.

Регламент работы со справочниками открытых ключей определяется спецификой функционирования защищенной прикладной системы. При создании подобного регламента необходимо учитывать следующие рекомендации:

• справочник открытых ключей требует периодического обновления по мере изменения или добавления ключей в данном справочнике; обновление справочников может быть построено либо по принципу принудительной рассылки, либо по принципу опубликования в общедоступных источниках (в УЦ e-Notary – публикация в справочнике на LDAP-сервере);
• при использовании в прикладном программном обеспечении криптографических функций необходимо обеспечить контроль актуальности справочника на данный момент времени;
• при обновлении справочников открытых ключей старые справочники с открытыми ключами подписи необходимо сохранять в архиве для последующих процедур разбора конфликтных ситуаций.