Использование атрибутных сертификатов в рамках 63-ФЗ
DESCRIPTION
Использование атрибутных сертификатов в рамках 63-ФЗ. Михайлов Никита Сергеевич Исполнительный директор Удостоверяющего Центра Сибири ТУСУР Научный руководитель: д.т.н., профессор Шелупанов А.А. Public Key Infrastructure (PKI). - PowerPoint PPT PresentationTRANSCRIPT
Использование атрибутных сертификатов в рамках 63-ФЗ
Михайлов Никита СергеевичИсполнительный директор
Удостоверяющего Центра Сибири ТУСУР
Научный руководитель:д.т.н., профессор Шелупанов А.А.
Public Key Infrastructure (PKI)
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 2
Инфраструктура открытых ключей -
инфраструктура безопасности для распространения открытых
ключей, управления электронными сертификатами и ключами.
Основная задача - обеспечить
доступ любого пользователя к подлинному
открытому ключу любого другого
пользователя, защитить эти ключи от
подмены злоумышленником, а также
организовать отзыв ключа в случае его
компрометации
Privilege Management Infrastructure (PMI)
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 3
Инфраструктура управления привилегий –
инфраструктура, позволяющая связать сертификаты PKI с
предоставлением каких-либо привилегий и полномочий.
Для PMI используется выпуск атрибутных
сертификатов, связывающих данный сертификат PKI с каким-
либо набором привилегий и/или полномочий. PMI является
инфраструктурой, которая существует наряду PKI, а не как
часть PKI.
Существующие информационные системы
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 4
• Системы сдачи отчетности (ФНС, ПФР,
ФСС, ФСРАР и др.).
• Системы межведомственного
электронного взаимодействия.
• Системы дистанционного банковского
обслуживания и платёжные системы.
• Электронные торги.
• Корпоративные системы.
Недостатки
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 5
Невозможность удовлетворения требований к наполнению сертификата со
стороны неограниченного круга информационных систем.
Увеличение частоты отзыва действительных сертификатов в связи со
сменой роли / полномочий.
Трудности в получении достоверной дополнительной информации о
пользователе сотрудниками УЦ.
Противоречие между сохранением конфиденциальности персональных
данных и необходимостью размещать сертификаты в общедоступном
реестре.
Атрибутный сертификат (АС)
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 6
АС — структура, подобная Х.509 сертификату.
Основное отличие — АС не содержит открытого ключа и не
обеспечивает связь открытого ключа и его владельца.
АС содержит набор атрибутов,
характеризующий владельца. Атрибуты могут определять
членство в некоторой группе, роль, признаки безопасности,
авторизационную информацию и т.д. и т.п.
Наглядное отличие
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 7
Сертификат ключа подписи
продолжительность по
времени;
не простая процедура
получения;
зачастую общедоступное
размещение.
Атрибутный сертификат
выпускается зачастую другой
организацией, нежели СКП;
не продолжительны по
времени;
размещение в системе
ограниченного доступа.
Экономические преимущества
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 8
Внедрение АС позволяет использовать внешний PKI и
содержать только собственного атрибутного издателя для
указания ролей и полномочий лицам, зарегистрированным во
внешнем PKI, которому доверяет система.
Тем самым исчезает необходимость содержать
собственный УЦ, деятельность которого лицензируется.
Атрибутные сертификаты и 63-ФЗ
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 9
«Квалифицированная электронная подпись
используется с учетом ограничений, содержащихся в
квалифицированном сертификате лица, подписывающего
электронный документ (если такие ограничения установлены).»
Формулировки 63-ФЗ касаются только факта признания
подписи!
Предполагаемая схема взаимодействия
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 10
Пример взаимодействия в системе электронного правительства
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 11
Пример использования
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 12
Выписки из Реестров (выписка из
ЕГРЮЛ).
При подобном переводе её в электронный
вид легко управляется срок действия выписки,
появляется возможность досрочно её отозвать (при внесении
изменений).
Это безусловно повысит степень доверия и актуальность
выписки (уменьшение числа обращений и уменьшение
различных мошеннических действий с данной информацией).
Пример использования
© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 13
Интернет-банкинг
Аутентификация пользователя и
действительность платежного поручения определяется
криптографическими свойствами ЭП и защищенного
соединения на ключах, сертификат которого выдан во внешнем
по отношению к банковской системе УЦ, а фактическая
информация о счете пользователя оформляется в виде
атрибутного сертификата.
© ИСИБ, 2012 14Михайлов Никита Сергеевич, [email protected]
Спасибо за внимание!
Пожалуйста, вопросы.