Контакты
Подписка
МЕНЮ
Контакты
Подписка

От PKI к PMI

От PKI к PMI

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

От PKI к PMI*

Сегодня трудно найти организации, в которых бы не применялась электронная подпись (ЭП). Да, в большинстве случаев ЭП у юридических лиц используется для взаимодействия с государством (различные виды декларирования: ПФР, ФСС, ФНС и т.д.), участия в электронных торгах (как на государственных площадках, так и на коммерческих), обмена электронными документами со своими контрагентами, осуществления управления счетами в системах дистанционного банкинга и т.д. При этом в ряде крупных корпоративных и ведомственных систем ЭП формируется и для внутренних документов.
Максим Чирков
Руководитель направления развития сервисов ЭП компании “Аладдин Р.Д."

Если для взаимодействия с государством достаточно только одного квалифицированного сертификата ключа проверки подписи (СКП), выданного на сегодняшний момент одним из уже более 300 аккредитованных Удостоверяющих центров (УЦ), то для прочих систем зачастую выдается дополнительный СКП своим внутренним УЦ. При этом понятно, что субъект остается прежним, но предусмотреть и занести в единый СКП все возможные сценарии, правила и ограничения использования в конкретной инфраструктуре заранее часто просто невозможно.

Выходом из сложившейся ситуации может быть применение атрибутных сертификатов. Атрибутный сертификат (АС – Attribute Certificate) – сертификат, который используется для связывания дополнительной информации о ранее идентифицированном владельце с СКП. АC позволяет управлять доступом на основе определенных принципов, меток, ролей, должностей и является объектом инфраструктуры управления привилегиями (англ. Privilege Management Infrastructure, PMI). Важно понимать, что PMI не является частью PKI и ни в коем случае ее не заменяет, а дополняет, являясь приложением.

При растущих темпах эмиссии СКП для физических лиц количество сервисов, где смог бы аутентифицироваться и подписать что-либо субъект, пока весьма ограничено. PMI в данной ситуации становится очень удобным механизмом для использования уже действующих сертификатов во внешней инфраструктуре или внешнем сервисе. Действительно, владелец того или иного ресурса с помощью своего Атрибутного центра может выпустить атрибутный сертификат с соответствующими метками безопасности, ролями, полномочиями и т.д., связав тем самым атрибуты пользователя системы и СКП данного пользователя, выданного сторонним УЦ. Данный сертификат применяется только в его системе и может носить конфиденциальный характер.

Наравне с АС объектом PMI является Атрибутный центр. Атрибутный центр (АЦ) – это по сути издатель АС (аналог УЦ в PKI, который выпускает и аннулирует АС). При этом АЦ не является компонентом УЦ и может располагаться в ведении совсем другого хозяйствующего субъекта. В общем случае УЦ выпускает СКП субъекту, зафиксировав редко меняющиеся параметры (например, для физического лица ФИО, ИНН, СНИЛС), АЦ конкретной системы выдает АС, связывая ссылку на СКП с некоторым набором атрибутов. Таким образом, без отзыва и приостановки СКП появляется возможность динамично менять права и полномочия владельца АС в период действия основного СКП. Перевыпускаются и отзываются только АС. Этот сценарий существенно снижает затраты на организацию и управление доступом в конкретной системе благодаря использованию внешней PKI. Также этот механизм предоставляет большую прозрачность и гибкость при владении собственной PKI при обработке сценариев смены должности и обязанностей сотрудника, предоставления временного доступа и т.д.

Если посмотреть на массовый сегмент, то идеология управления привилегиями успешно вписывается в современный тренд "сделать ЭП доступной любому физическому лицу". Широко распространять СКП среди граждан РФ сперва начал разработчик и первый оператор инфраструктуры проекта "Электронное правительство". Затем к эмиссии присоединились банки и стали выпускать кобрендинговые карты на чипах с российской криптографией "на борту" производства "Аладдин Р.Д.", сертифицированные как по требованиям платежных систем, так и по требованиям ФСБ России к средствам ЭП. В ближайшее время должны стартовать проекты операторов сотовой связи по предоставлению населению специализированных SIM-карт, которые позволяют осуществлять подписание данных на любом телефоне GSM без установки дополнительных приложений. Также физические лица могут получить СКП в любой точке выдачи любого аккредитованного УЦ на привычном защищенном носителе, например, JaCarta.

В заключение хочется упомянуть еще об одной интересной особенности АС. Как ранее было указанно, связка СКП и АС применяется для указания дополнительных характеристик автора, ролевой информации для функций разграничения доступа. Однако в качестве владельца АС могут выступать произвольные данные. В этом случае АС выступает фактически меткой целостности и актуальности данных. Применение может быть широким. Например, в системах корпоративного ЭДО, в АС соответствующего документа можно указать период его действительности, а отзыв АС инициирует операцию преждевременного вывода документа из оборота за потерей актуальности. Таким образом, не обязательно каждый раз выполнять запрос документа, а достаточно проверить АС, т.е. актуален ли находящийся у пользователя документ.

Как видно, PMI и АС в частности представляют собой удобный и гибкий механизм. Многие технологичные платформы и решения типа Enterprise поддерживают работу с ними. Остается дело за интеграцией идеологии управления привилегиями в российские сервисы и соответствующее нормативное регулирование, тем более, что в Республике Беларусь с 1 сентября 2014 г. введен стандарт СТБ 34.101.67 "Информационные технологии и безопасность. Инфраструктура атрибутных сертификатов".

___________________________________________
*Статья публикуется в авторской редакции.
АЛАДДИН Р.Д.
129226 Москва,
ул. Докукина, 16, корп. 1, этаж 7
Тел.: (495) 223-0001
Факс: (495) 646-0882
E-mail: aladdin@aladdin-rd.ru
www.aladdin-rd.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014
Посещений: 8384

Приобрести этот номер или подписаться
  Автор

Максим Чирков

Максим Чирков

Руководитель направления
развития сервисов ЭП,
ЗАО "Аладдин Р.Д."

Всего статей:  6

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций