Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уровень криптографической защиты при реализации обмена электронными сообщениями, защищенными электронной подписью

Уровень криптографической защиты при реализации обмена электронными сообщениями, защищенными электронной подписью

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Уровень криптографической защиты при реализации обмена электронными сообщениями, защищенными электронной подписью

В настоящей статье рассматривается ряд аспектов обеспечения ИБ электронного взаимодействия при использовании усиленной квалифицированной электронной подписи (КЭП).
Группа экспертов ФСБ России

С точки зрения качественных характеристик криптографической защиты электронного взаимодействия при использовании КЭП следует рассмотреть следующие вопросы:

  • правила обработки информации о классе средств электронной подписи, имеющейся в квалифицированном сертификате;
  • принципы организации инфраструктуры аккредитованных удостоверяющих центров (УЦ).
Если класс средств ЭП ГУЦ окажется низким, возможна ситуация, когда появятся аккредитованные УЦ, имеющие средства ЭП, класс которых выше класса средств ЭП ГУЦ. В этом случае пользователи таких УЦ, обладающие средствами ЭП, класс которых выше класса средств ЭП ГУЦ, будут принудительно ограничены уровнем криптографической защиты, задаваемым классом средств ЭП ГУЦ, и не смогут реализовать необходимую политику безопасности.

В соответствии с Требованиями к средствам электронной подписи и Требованиями к средствам УЦ, утвержденными приказом ФСБ России от 27 декабря 2011 г. № 796 устанавливается шесть классов – КС1, КС2, КС3, КВ1, КВ2, КА1, определяющих иерархию уровней криптографической защиты информации.

Исходя из этой иерархии, участник информационного взаимодействия для подписания электронных документов может самостоятельно выбрать средства, обеспечивающие необходимую защиту. Выбор класса осуществляется на основе модели угроз безопасности информации в соответствующей информационной системе.

Механизм, позволяющий автоматизированным образом в процессе проверки КЭП определять достигнутый уровень криптографической защиты, закреплен в Требованиях к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденных приказом ФСБ России от 27 декабря 2011 г. № 795 (далее – Требования к форме квалифицированного сертификата), и заключается в следующем.

Определяем достигнутый уровень криптографической защиты

В дополнении certificatePolicies должны указываться сведения о классе средств ЭП, используемых владельцем квалифицированного сертификата для подписания электронного документа. Данные сведения указываются путем включения набора соответствующих объективных идентификаторов (пункты 27, 28 Требований к форме квалифицированного сертификата).

Алгоритм обработки данного дополнения certificatePolicies в процессе верификации цепочки сертификатов подробно описан в RFC 5280. Целью работы данного алгоритма является определение набора таких объективных идентификаторов, которые входят во все сертификаты верифицируемой цепочки. В соответствии с правилами заполнения дополнения certificatePolicies (пункт 28 Требований к форме квалификационного сертификата) данный набор во всех случаях не может быть пустым и всегда включает как минимум объектный идентификатор класса КС1 (1.2.643.100.113.1).

Надежная и безопасная инфраструктура аккредитованных УЦ является тем фундаментом, который позволит выйти на новый качественный уровень предоставления государственных и муниципальных услуг в электронной форме и обеспечить современное высокотехнологичное исполнение государственных функций федеральными органами исполнительной власти. Приоритетными задачами в этой области должны стать высокая степень автоматизации процедур создания и проверки КЭП в электронном документе (минимизация организационного фактора, повышение защищенности индивидуальных средств ЭП), а также обеспечение информационных систем всех уровней адекватными условиями применения средств ЭП.

Например, если в квалифицированных сертификатах цепочки встречается только класс средств ЭП КС1, то на выходе алгоритма обработки политик будет идентификатор (1.2.643.100.113.1), обозначающий, что достигнут уровень криптографической защиты электронного взаимодействия при использовании КЭП КС1.

Если в цепочке квалифицированных сертификатов встречается следующий набор классов средств ЭП – КВ2, КС3, КС2, то на выходе алгоритма обработки политик будет пара объектных идентификаторов (1. 2 .643.100.113.1, 1.2.643.100.113.2), обозначающая, что достигнут уровень криптографической защиты электронного взаимодействия при использовании КЭП КС2.

Из описанного механизма следует, что уровень криптографической защиты электронного взаимодействия при использовании КЭП, не превышает класс средств ЭП, используемых головным удостоверяющим центром (ГУЦ) для создания ключа КЭП, используя который аккредитованные УЦ подписывают квалифицированные сертификаты участников электронного взаимодействия (то есть класс средств ЭП ГУЦ является максимально возможным).

В общем случае, если класс средств ЭП ГУЦ окажется низким, возможна ситуация, когда появятся аккредитованные УЦ, имеющие средства ЭП, класс которых выше класса средств ЭП ГУЦ. В этом случае пользователи таких УЦ, обладающие средствами ЭП, класс которых выше класса средств ЭП ГУЦ, будут принудительно ограничены уровнем криптографической защиты, задаваемым классом средств ЭП ГУЦ, и не смогут реализовать необходимую политику безопасности.

Для некоторых государственных информационных систем такое положение дел с точки зрения ИБ может оказаться неприемлемым.

Таким образом, для задач использования КЭП полагаем необходимым обеспечить класс КВ2 или КА1 для средств ЭП, входящих в состав ГУЦ и используемых для создания и выдачи ключей КЭП аккредитованным УЦ.

Далее рассмотрим особенности верификации цепочки квалифицированных сертификатов.

Особенности верификации

В современной практике применения электронной подписи для известных схем построения PKI-инфраструктуры (иерархической, сетевой на основе кросс-сертификатов, TSL-схемы) проверка действительности ЭП осуществляется путем построения и верификации соответствующей цепочки сертификатов ключей проверки электронных подписей. Данная цепочка начинается корневым самоподписанным сертификатом ключа проверки электронной подписи корневого УЦ и заканчивается проверяемым сертификатом. Подробно процедура проверки действительности сертификата описана в рекомендациях Х.509 и, например, в RFC 5280.

Федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи (далее – УФО), осуществляет функции ГУЦ в отношении аккредитованных УЦ и выдает аккредитованным УЦ квалифицированные сертификаты.

Указанные положения делают возможным применение механизма автоматизированного контроля статуса аккредитации УЦ в момент проверки КЭП в электронном документе (путем определения статуса его квалифицированного сертификата, выданного ГУЦ).

Предположим, что аккредитация некоторого УЦ приостановлена (отозвана) в некоторый момент времени. Тогда ГУЦ достаточно приостановить (прекратить) действие соответствующего квалифицированного сертификата и возможность признания квалифицированной электронной подписи участника электронного взаимодействия действительной будет исключена, так как соответствующая цепочка сертификатов не будет верифицирована.

Недостатки

Нарушение изложенного подхода и использование в процедурах проверки КЭП самоподписанных сертификатов аккредитованных УЦ порождает такие недостатки, как:

  • отсутствие однозначной (технически контролируемой) взаимосвязи статуса самоподписанного сертификата со статусом аккредитации УЦ;
  • отсутствие возможности автоматизированной проверки действительности КЭП (как результата верификации цепочки квалифицированного сертификата, начинающейся с квалифицированного сертификата, выданного ГУЦ аккредитованному УЦ, и заканчивающейся квалифицированным сертификатом участника электронного взаимодействия).

Обозначенные недостатки могут приводить к следующим негативным последствиям:

  • признание КЭП в электронном документе действительной в условиях отозванной (приостановленной) аккредитации УЦ;
  • появление "ложных" квалифицированных сертификатов участников электронного взаимодействия (например, созданных "ложными аккредитованными УЦ", не имевшими аккредитации).

Как следствие, создаются предпосылки для оспаривания в правовом поле действительности КЭП в электронном документе.

Таким образом, в качестве базовой архитектуры построения инфраструктуры аккредитованных УЦ необходимо реализовывать иерархическую схему с ГУЦ в качестве корневого.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013
Посещений: 28897

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций