2. сертификаты
advertisement
УЦ общее описание ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ ________________________________________________1 ВВЕДЕНИЕ _________________________________________________________________3 1. ОСНОВЫ СТРОГОЙ АУТЕНТИФИКАЦИИ. УНИКАЛЬНОЕ ИМЯ ______________3 2. СЕРТИФИКАТЫ __________________________________________________________ 4 2.1. Номер версии сертификата__________________________________________________ 5 2.2. Серийный номер сертификата_______________________________________________ 5 2.3. Алгоритмы __________________________________________________________________ 5 2.4. Сведения об издателе сертификата (УЦ) _____________________________________ 5 2.5. Сведения о Подписчике сертификата ________________________________________ 6 2.6. Период действия сертификата ______________________________________________ 6 2.7. Открытый ключ Подписчика сертификата ___________________________________ 6 2.8. Расширения _________________________________________________________________ 6 3. ЗАПРОС СЕРТИФИКАТА __________________________________________________ 7 4. СПИСОК ОТОЗВАННЫХ СЕРТИФИКАТОВ _________________________________7 5. СПРАВОЧНИКИ СЕРТИФИКАТОВ _________________________________________8 ЛИТЕРАТУРА _______________________________________________________________ 8 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Аварийный пароль - пароль для экстренной связи Подписчика сертификата с Администратором Удостоверяющего центра, используемый Подписчиком для оповещения Администратора о компрометации своего секретного ключа. Администратор Удостоверяющего центра (Администратор УЦ) - уполномоченный представитель Удостоверяющего центра, ответственный за выполнение операций по изготовлению и обслуживанию сертификатов Подписчиков. Администратор Регистрационного центра (Администратор РЦ) - уполномоченный представитель Регистрационного центра, ответственный за выполнение операций по идентификации, аутентификации, проверке полномочий Подписчиков и передаче сформированных ими запросов сертификатов Администратору УЦ. Закрытый (секретный) ключ – уникальная последовательность символов, известная Подписчику сертификата соответствующего открытого ключа и предназначенная для создания электронной цифровой подписи и расшифрования информации с использованием криптографических средств. Запрос сертификата - электронный документ, содержащий открытый ключ с параметрами алгоритма и сведения о Подписчике сертификата, заверенные его электронной цифровой подписью. Защищенный сервис – системы защищенного взаимодействия на базе PKI, имеющие различное прикладное назначение. Инфраструктура открытых ключей (Public Key Infrastructure - PKI) - интегрированный набор служб и средств администрирования для создания и развертывания приложений, использующих криптографию с открытыми ключами; обеспечивает функции управления открытыми ключами. Компрометация ключа – констатация Подписчиком сертификата обстоятельств, при которых возможно несанкционированное использование его секретного ключа неуполномоченными лицами. Криптографическая защита - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования. Криптографические ключи – общее название открытых и закрытых (секретных) ключей. Организатор – организатор защищенных сервисов, разработчик СКЗИ и защищенных приложений - закрытое акционерное общество "Сигнал-КОМ" Открытый ключ – уникальная последовательность символов, соответствующая закрытому (секретному) ключу, доступная Пользователям сертификатов и предназначенная для подтверждения подлинности электронной цифровой подписи и зашифрования информации с использованием криптографических средств. Плановая смена ключей - регламентируемая Администратором УЦ периодическая смена криптографических ключей Подписчиков, Администраторов РЦ и самого Администратора УЦ, не вызываемая их компрометацией. Подписчик (Владелец) сертификата – физическое лицо, на имя которого Удостоверяющим центром изготавливается сертификат открытого ключа и которое владеет соответствующим закрытым (секретным) ключом. Пользователь сертификата – физическое лицо, использующее полученные в Удостоверяющем центре сведения о сертификате открытого ключа для проверки принадлежности электронной цифровой подписи Подписчику данного сертификата и для зашифрования адресованной ему информации. Сертификат открытого ключа (сертификат) – документ на бумажном носителе или электронный документ, подписанный электронной цифровой подписью Администратора УЦ, который включает в себя открытый ключ, информацию о владельце соответствующего ему секретного ключа, сведения об УЦ, выдавшем сертификат, дополнительные атрибуты (расширения), определяемые требованиями использования сертификата в Защищенном сервисе и др. Список Отозванных Сертификатов (СОС) - перечень серийных номеров сертификатов открытых ключей, выведенных из обращения (аннулированных); формируется Удостоверяющим центром и заверяется электронной цифровой подписью Администратора УЦ. Средство криптографической защиты информации (СКЗИ) - средство криптографической защиты информации, включающее библиотеку криптографических преобразований и комплекс вспомогательных программных модулей из состава СКЗИ “Крипто-КОМ 3.2”, сертифицированного Федеральным агентством правительственной связи и информации при Президенте РФ (ФАПСИ) по требованиям безопасности информации к классам "КС1" и "КC2" (сертификаты соответствия №№ СФ/114-1068, СФ/114-1069, СФ/124-1070, СФ/124-1071 от 07.11.2007 г, СФ/114-1170 от 15.07.2008 г). Удостоверяющий центр (УЦ) – субъект PKI, подразделение Организатора, обладающее необходимым комплексом программно-технических средств электронной цифровой подписи, обеспечивающих изготовление и обслуживание сертификатов открытых ключей Подписчиков, Администратора Удостоверяющего центра и Администраторов Регистрационных центров. УЦ e-Notary – публичный Удостоверяющий центр компании "Сигнал-КОМ". Участник PKI – общее название Подписчиков и Пользователей сертификатов. Центр поддержки защищенных сервисов (Портал УЦ)– Интернет-ресурс Организатора, построенный на базе Webсервера, обеспечивающий взаимодействие с УЦ в процессе изготовления и обслуживания сертификатов и подключение к защищенным сервисам. Регистрационный центр (РЦ) – опциональный субъект PKI, отвечающий за идентификацию и аутентификацию Подписчиков при изготовлении сертификатов, и обладающее необходимым комплексом программно-технических средств электронной цифровой подписи и шифрования для организации защищенного канала связи, обеспечивающего достоверную передачу запросов сертификатов Подписчиков в УЦ. Шифрование информации (шифрование) - взаимнооднозначное математическое (криптографическое) преобразование информации, зависящее от ключа (секретный параметр преобразования), которое ставит в соответствие блоку открытой информации блок зашифрованной информации. Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием секретного ключа и позволяющий идентифицировать Подписчика сертификата, а также установить отсутствие искажения информации в электронном документе. ВВЕДЕНИЕ Одной из главных задач при создании защищенных информационных систем, построенных на базе двухключевой криптографии, является организация Инфраструктуры Открытых Ключей (Public Key Infrastructure - PKI), включающей полный комплекс программно-аппаратных средств, а также организационно-технических и административных мероприятий, обеспечивающих необходимый сервис Подписчикам для управления их сертификатами. Основным элементом PKI является Удостоверяющий центр (УЦ), который в лице Администратора УЦ обеспечивает контроль за выполнением всех процедур, связанных с изготовлением, регистрацией, хранением и обновлением ключей, сертификатов и списков отозванных сертификатов. В рамках центра поддержки защищенных сервисов (Портала УЦ) все услуги по управлению открытыми ключами и сертификатами Подписчиков возлагаются на Удостоверяющий центр e-Notary, организованный компанией "Сигнал-КОМ". УЦ e-Notary формирует сертификаты и списки отозванных сертификатов в соответствии с Рекомендациями ITU-T X.509 1 и IETF RFC 32802, RFC 30393 и позволяет обеспечить: регистрацию Подписчиков в базе данных УЦ; прием и регистрацию от Подписчиков запросов сертификатов; верификацию запросов сертификатов; изготовление сертификатов Подписчиков в виде электронных документов и документов на бумажных носителях (опционально); приостановление и возобновление действия сертификатов; выпуск списков отозванных сертификатов (СОС); публикацию сертификатов и СОС в общедоступном сетевом справочнике на базе сервера LDAP; архивное хранение сертификатов в виде электронных документов и др. Инфраструктура УЦ e-Notary допускает двухуровневую иерархическую схему управления сертификатами центральный УЦ и региональные Регистрационные центры, объединяя в рамках единого комплекса ряд административных служб, возглавляемых уполномоченными представителями УЦ. 1. ОСНОВЫ СТРОГОЙ АУТЕНТИФИКАЦИИ. УНИКАЛЬНОЕ ИМЯ В основу системы администрирования Удостоверяющего центра e-Notary положены принципы строгой аутентификации, принятые в Рекомендации ITU-T X.509 v.3 и базирующиеся на свойствах семейства криптографических систем, известных как криптосистемы с открытым ключом (PKCS). В отличие от обычных криптосистем, использующих один ключ, криптосистемы с открытым ключом предполагают наличие у пользователя парных ключей - секретного и открытого (общедоступного). Процедура идентификации и установления подлинности источника информации называется аутентификацией. Аутентификация опирается на наличие у каждого Подписчика сертификата уникального имени, отличного от имен всех остальных пользователей. Присвоение уникальных имен находится в компетенции центра по распределению имен. Поэтому каждый Участник PKI должен доверять этому центру в том, что тот не повторит дважды одного и того же имени. Уникальное имя (Distinguished Name в терминологии X.509) представляет собой набор атрибутов (см. Таблицу 1), совокупность которых, будучи включенной в сертификат, однозначно идентифицирует владельца сертификата: 1 ITU-T Recommendation X.509 (1997 E): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, June 1997. 2 RFC 3280. Housley, W. Polk, W. Ford, D. Solo, “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, April 2002. 3 RFC 3039. S.Santesson, W. Polk, P.Barzin, M.Nystrom, “Internet X.509 Public Key Infrastructure Qualified Certificates Profile”, January 2001. Таблица 1 Имя атрибута Атрибут X.520 Длина в байтах Комментарии Страна Country Name (C) Область/район State or Province Name (SP) 128 Город/село Locality Name (L) 128 Организация Organization Name (O) 64 Подразделение Organizational Unit Name (OU) 64 Должность Title (T) 64 Полное имя Common Name (CN) 64 Электронная почта E-mail 40 2 Код страны в Стандарте ISO 3166 (для России: RU) Состав и количество заполняемых полей в уникальном имени определяются Администратором УЦ и могут быть различными для разных сертификатов. За достоверность и правильность информации, включаемой в уникальное имя, несет ответственность Администратор УЦ. Каждый Подписчик идентифицируется с помощью своего секретного ключа. С помощью парного открытого ключа любой Пользователь сертификата имеет возможность определить, является ли его партнер по связи подлинным владельцем секретного ключа. Степень достоверности факта установления подлинности зависит от надежности хранения секретного ключа и надежности источника поставки открытых ключей пользователей. Процедура, позволяющая каждому пользователю устанавливать однозначное и достоверное соответствие между открытым ключом и его владельцем, обеспечивается механизмом сертификации открытых ключей. 2. СЕРТИФИКАТЫ Для того чтобы Пользователь сертификата мог доверять процессу аутентификации, он должен извлекать открытый ключ Подписчика из надежного источника, которому он доверяет. Таким источником в X.509 является Удостоверяющий центр (certification authority), обеспечивающий формирование сертификатов открытых ключей. Сертификат обладает следующими свойствами: каждый Пользователь сертификата, имеющий доступ к открытому ключу Удостоверяющего центра, может извлечь открытый ключ, включенный в сертификат; ни одна сторона, помимо Удостоверяющего центра, не может изменить сертификат так, чтобы это не было обнаружено (сертификаты нельзя подделать). Так как сертификаты не могут быть подделаны, их можно опубликовать, поместив в общедоступный справочник, не требуя от последнего специальных усилий по защите этих сертификатов. Формат сертификатов, определенный требованиями Х.509, включает следующую информацию: номер версии сертификата; серийный номер сертификата; идентификатор алгоритма, используемого для подписи УЦ; сведения об издателе сертификата (УЦ); период действия сертификата, состоящий из двух дат: начала и конца периода; сведения о Подписчике сертификата или об объекте системы, однозначно идентифицирующие его в рамках данной системы; информацию об открытом ключе Подписчика или объекте системы: идентификатор алгоритма и собственно открытый ключ; дополнительные атрибуты (расширения), определяемые требованиями использования сертификата в системе; ЭЦП Удостоверяющего центра. Каждый Подписчик является владельцем одного или нескольких сертификатов, сформированных УЦ. Открытый ключ Подписчика может быть извлечен из сертификата любым Пользователем, знающим открытый ключ Администратора УЦ. 2.1. Номер версии сертификата УЦ e-Notary поддерживает возможность формирования сертификатов двух версий – v.1 и v.3. Номер версии сертификата определяется, исходя из наличия в сертификате расширений, описанных в RFC 3280 (при отсутствии расширений, номер версии сертификата устанавливается равным 1, при наличии расширений – 3). 2.2. Серийный номер сертификата Серийный номер сертификата представляет собой последовательность символов в шестнадцатеричном виде, уникальную для каждого сертификата, сформированного данным УЦ. 2.3. Алгоритмы УЦ e-Notary поддерживает следующие алгоритмы ЭЦП: 4 ГОСТ Р 34.10-2001 - в соответствии с ( ); RSA - в соответствии с (5); DSA - в соответствии с (6) . 2.4. Сведения об издателе сертификата (УЦ) Сведения об издателе сертификата включают информацию об УЦ (либо конкретном Администраторе УЦ), заверившем и выпустившем данный сертификат. Сведения представляются в виде совокупности атрибутов уникального имени, представленных в Таблице 1. 4 ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. 5 Kaliski, B., "PKCS #1: RSA Encryption Version 1.5", RFC 2313, March 1998. 6 Federal Information Processing Standards Publication (FIPS PUB) 186, Digital Signature Standard, 18 May 1994. 2.5. Сведения о Подписчике сертификата Сведения о Подписчике сертификата также представляют собой совокупность атрибутов уникального имени (согласно Таблице 1), позволяющих однозначно установить владельца сертификата ключа подписи. Состав и количество заполняемых полей уникального имени определяются регламентом работы защищенной прикладной системы и могут быть различными для разных пользователей. При наличии региональных центров регистрации запросов на сертификаты за достоверность и правильность информации о Подписчике, включаемой в уникальное имя, несет ответственность региональный Администратор Регистрационного центра, сформировавший запрос на сертификат. УЦ поддерживает уникальность имен лишь в контексте данного Удостоверяющего центра; при использовании распределенной иерархической системы администрирования необходимо предпринимать меры по координации действий различных УЦ в части присвоения уникальных имен. 2.6. Период действия сертификата Период действия сертификата определяется двумя датами – датой начала действия сертификата и датой окончания действия сертификата. Обе даты в составе сертификата отображаются в формате среднего времени по Гринвичу (GMT). 2.7. Открытый ключ Подписчика сертификата Открытый ключ Подписчика сертификата отображается в сертификате в виде последовательности символов в шестнадцатеричном представлении совместно с идентификатором и параметрами используемого алгоритма ЭЦП. 2.8. Расширения Дополнительные сведения, включаемые в сертификат, могут использоваться для указания дополнительной информации о владельце или издателе сертификата, сведений об области применимости сертификата, отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение, средствах ЭЦП, с которыми может использоваться данный сертификат, и т.д. Указанные дополнительные сведения включаются в сертификат в составе стандартных расширений, определенных в рекомендации RFC 3280. Перечень стандартных расширений, поддерживаемых УЦ e-Notary, приведен в Таблице 2: Таблица 2 Наименование расширения в УЦ “Notary-PRO 2.x” Наименование расширения согласно RFC 3280 Основные ограничения Basic constraints Идентификатор ключа владельца Subject key identifier Идентификатор ключа издателя Authority key identifier Альтернативное имя владельца Subject alternative name Альтернативное имя издателя Issuer alternative name Использование ключа Key usage Расширенное использование ключа Extended key usage Сертификационные политики Certificate policies Помимо расширений, указанных в Таблице 2, УЦ e-Notary поддерживает также все расширения Netscape, согласно "Netscape Certificate Extensions. Communicator 4.0 Version" 7. Каждое из приведенных выше расширений может являться критичным (critical) либо некритичным (non-critical). Правила обработки сертификатов, изложенные в RFC 3280, требуют от прикладного ПО отвергнуть сертификат, если в его состав включено критичное расширение, которое не может быть интерпретировано и обработано средствами прикладного ПО. В том случае, если при обработке сертификата прикладное ПО не может интерпретировать некритичное расширение, данное расширение может быть проигнорировано. 3. ЗАПРОС СЕРТИФИКАТА Открытые ключи Подписчиков сертификатов передаются на регистрацию и последующую сертификацию в Удостоверяющий центр в составе запроса на сертификат. Запросы на сертификаты могут формироваться приложениями, построенными на базе СКЗИ “Крипто-КОМ 3.2”. Запрос сертификата формируется Подписчиком и представляет собой следующий набор информации: запрашиваемое имя; информацию об открытом ключе, включающую идентификатор двуxключевого алгоритма и собственно открытый ключ; дополнительную информацию (необязательно). Эта информация подписывается секретным ключом Подписчика; при этом запрос может быть: самоподписанным, т.е. подписанным секретным ключом, парным открытому ключу, включенному в запрос; подписанным любым другим секретным ключом Подписчика (таким, парный открытый ключ которого был ранее сертифицирован в УЦ и период действия его сертификата еще не истек). Запрашиваемое имя представляет собой набор атрибутов, подобный уникальному имени. Запрашиваемое имя формируется Подписчиком и может быть включено в сертификат в виде уникального имени только после проверки на достоверность. УЦ e-Notary поддерживает запросы сертификатов в следующих форматах: PKCS #10 в соответствии с 8; MSIE (Microsoft Internet Explorer); SPKAC (Netscape Navigator/Communicator). 4. СПИСОК ОТОЗВАННЫХ СЕРТИФИКАТОВ Сертификаты имеют период действия, однако любой сертификат может быть выведен из обращения (отозван) до истечения этого периода, если: 7 8 соответствующий сертификату секретный ключ Подписчика скомпрометирован; Подписчик - владелец сертификата больше не обслуживается данным УЦ; изменились атрибуты Подписчика сертификата; скомпрометирован ключ УЦ, использованный при формировании сертификата. Netscape Certificate Extensions Communicator 4.0 Version. PKCS #10: Certification Request Syntax Version 1-5. B. Kaliski. March 1998. Удостоверяющий центр должен информировать Пользователей об отозванных сертификатах. Для этой цели он поддерживает список отозванных сертификатов (СОС) или список отмены. Список отозванных сертификатов представляет собой подписанный Удостоверяющим центром блок информации, содержащий: идентификатор алгоритма подписи; уникальное имя УЦ; период действия (даты начала и конца периода); список, представляющий собой последовательность пар: серийный номер сертификата, дата отзыва. Список отозванных сертификатов должен всегда существовать, даже если он пуст. Допустимо существование одновременно нескольких списков, например, с перекрывающимися периодами или подписанных разными ключами УЦ. 5. СПРАВОЧНИКИ СЕРТИФИКАТОВ При работе с открытыми ключами Пользователям сертификатов необходимо иметь справочник открытых ключей всех Подписчиков. Доведение этой информации до Пользователей и обновление справочника является задачей Администратора УЦ. При регистрации нового Подписчика или при выводе из действия ранее зарегистрированных ключей, в общем случае все Пользователи должны обновлять свои локальные справочники открытых ключей. Регламент работы со справочниками открытых ключей определяется спецификой функционирования защищенной прикладной системы. При создании подобного регламента необходимо учитывать следующие рекомендации: справочник открытых ключей требует периодического обновления по мере изменения или добавления ключей в данном справочнике; обновление справочников может быть построено либо по принципу принудительной рассылки, либо по принципу опубликования в общедоступных источниках (в УЦ e-Notary – публикация в справочнике на LDAP-сервере); при использовании в прикладном программном обеспечении криптографических функций необходимо обеспечить контроль актуальности справочника на данный момент времени; при обновлении справочников открытых ключей старые справочники с открытыми ключами подписи необходимо сохранять в архиве для последующих процедур разбора конфликтных ситуаций. ЛИТЕРАТУРА 1. ITU-T Recommendation X.509 (1997 E): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, June 1997. 2. RFC 3280. Housley, W. Polk, W. Ford, D. Solo, “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, April 2002. 3. RFC 3039. S.Santesson, W. Polk, P.Barzin, M.Nystrom, “Internet X.509 Public Key Infrastructure Qualified Certificates Profile”, January 2001. 4. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. 5. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. 6. Kaliski, B., "PKCS #1: RSA Encryption Version 1.5", RFC 2313, March 1998. 7. Federal Information Processing Standards Publication (FIPS PUB) 186, Digital Signature Standard, 18 May 1994. 8. Netscape Certificate Extensions Communicator 4.0 Version. 9. PKCS #10: Certification Request Syntax Version 1-5. B. Kaliski. March 1998.
