Документация удостоверяющего центра — базовый элемент инфраструктуры открытых ключей

Документация удостоверяющего центра — базовый элемент инфраструктуры открытых ключей

  
Кирилл Блудилин, Александр Погребной, Николай Пушкин, ЗАО «АНК»

Важнейшим этапом процесса создания инфраструктуры открытых ключей является формирование пакета эксплуатационной и организационно-распорядительной документации. При этом, выполняя требования отечественного законодательства, важно максимально следовать международным стандартам и рекомендациям. В данной статье рассматриваются общие вопросы разработки необходимого набора документов для организации работы удостоверяющего центра (УЦ), а именно, политик сертификата, регламента, соглашений с владельцами и пользователями. В основу материала легло обобщение стандартов серии Х.500, рекомендаций RFC 3039, 3280, 3647, требований Федерального закона от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» и опыта авторов, накопленного в ходе 3-летней практической эксплуатации удостоверяющих центров, в том числе мостового УЦ.

Политика сертификата

Политика сертификата — это набор правил, определяющий использование сертификата некоторым сообществом и/или классом приложений с заданными требованиями безопасности. Политика сертификата представляется объектным идентификатором, присвоенным этой политике. Согласно рекомендациям RFC
3647, каждый сертификат должен соответствовать хотя бы одной политике сертификата. Если их приведено несколько, это означает, что сертификат удовлетворяет всем политикам списка. Для указания политик, с которыми согласовывается сертификат, используется расширение «Certificate Policies». Политики могут быть заявлены не только в конечных сертификатах, но и в сертификатах удостоверяющих центров. Подобное означает, что удостоверяющий центр издает сертификаты только в соответствии с этим набором политик.

Расширения сертификатов X.509, связанные с политикой сертификата

В сертификатах предусмотрены следующие расширения, относящиеся к политикам сертификата: Certificate Policies, Policy Mappings и Policy Constraints.

Расширение Certificate Policies перечисляет политики сертификата, в соответствии с которыми издан и должен использоваться этот сертификат. Это расширение может включать квалификатор политики. Последний содержит дополнительную информацию, касающуюся политики сертификата.

Расширение Policy Mappings используется лишь в сертификатах удостоверяющих центров. Оно позволяет отображать эквивалентность определенных политик сертификата одной инфраструктуры политикам сертификата другой инфраструктуры.

Расширение Policy Constraints предоставляет две дополнительные возможности. Во-первых, с его помощью удостоверяющий центр способен установить для подчиненных удостоверяющих центров требование явного указания политик сертификата. Во-вторых, для подчиненных УЦ реализуется запрет на использование Policy Mappings. Таким образом, удостоверяющий центр оказывается защищенным от транзитивных отношений доверия.

Регламент

Регламент удостоверяющего центра — это документ, содержащий описание процедур и действий, которые центр использует при издании и управлении сертификатами. Иными словами, это документ, определяющий весь перечень операций УЦ. Необходимо заметить, что название «регламент» характерно для российской практики ИОК, зарубежные коллеги используют термин certification practice statement.

Существует несколько подходов к созданию регламента. Первый состоит в максимально подробном и точном описании процедур и действий. В этом случае регламент может содержать критическую с точки зрения безопасности информацию. Поэтому при выборе такого подхода публиковать регламент не рекомендуется. Для ознакомления участников ИОК с особенностями работы удостоверяющего центра и его требованиями к участникам предлагается создать и опубликовать резюме регламента, которое не будет содержать конфиденциальной информации.

Второй подход заключается в составлении регламента настолько подробно, насколько это возможно без разглашения информации, которая рискует оказаться использованной злоумышленником. Для описания важных процедур и действий разрабатывается документ или набор документов, описывающих ИОК и являющихся конфиденциальными. При выборе такого варианта публикуется лишь информация, необходимая пользователям для оценки работы удостоверяющего центра.
Третий подход предполагает применение в качестве регламента соглашения с владельцем сертификата и/или пользователем, либо комбинированного соглашения. Последний сценарий наиболее прост и понятен пользователю, однако наименее функционален с точки зрения работы удостоверяющего центра.

Сам регламент не является документом, создающим договорные отношения, однако он используется как перечень условий при заключении соглашений.

Взаимосвязь между документами

Область применения и степень доверия к сертификату описываются в одних и тех же разделах политики сертификата и регламента. Главное отличие между ними — в содержании этих разделов. Политика сертификата устанавливает требования, налагаемые на инфраструктуру открытых ключей. Цель политики сертификата — установить, что должны делать участники ИОК. В отличие от политики сертификата регламент определяет, как удостоверяющий центр и другие участники ИОК осуществляют операции в соответствии с требованиями политики.

Еще одно различие между политикой сертификата и регламентом заключается в их области действия. Первая является набором требований, которым должны следовать все участники ИОК, и определяет области действия сертификатов. В противоположность этому регламент предназначен для конкретного удостоверяющего центра.

Удостоверяющий центр может иметь только один регламент, но соответствовать нескольким политикам сертификата — так как несколько УЦ способны иметь различные регламенты, но соответствовать одному и тому же набору политик сертификата. Такая схема изображена на рисунке 1. Необходимо заметить, что регламент содержит подробное описание процедур, в то время как политика сертификата — общее описание требований.

Политика сертификата и регламент играют ключевую роль в документировании требований и процедур использования ИОК. Тем не менее это — не единственные документы. Например, соглашения с владельцем и пользователем сертификата определяют ответственность сторон. Как было сказано выше, в некоторых случаях эти документы вправе быть использованы в качестве регламента. Кроме того, эти соглашения, в отличие от политики сертификата и регламента, являются документами, создающими договорные отношения.

Разработка политики сертификата и регламента

Прежде чем приступить к разработке документации, организаторам ИОК необходимо определить правила построения дерева объектных идентификаторов. Эта тема, а также вопрос определения состава выдаваемых и используемых в ИОК сертификатов освещены в полной версии статьи, опубликованной на сайте журнала.

Разрабатываемый регламент, как минимум, должен содержать следующую информацию:

• перечень политик сертификата, используемых УЦ;
• набор правил издания, управления и применения сертификата для каждой ПС.

Для облегчения использования и анализа политик сертификата и регламента в общемировой практике реализуется стандартная форма политики сертификата и регламента, которая описана в RFC 3647.

Практическое применение данных рекомендаций позволит организовать инфраструктуру открытых ключей, регламентировать работу и обезопасить ее участников.