Использование атрибутных сертификатов в рамках 63-ФЗ

Использование атрибутных сертификатов в рамках 63-ФЗ

Михайлов Никита СергеевичИсполнительный директор

Удостоверяющего Центра Сибири ТУСУР

Научный руководитель:д.т.н., профессор Шелупанов А.А.

Public Key Infrastructure (PKI)

© ИСИБ, 2012 Михайлов Никита Сергеевич, [email protected] 2

Инфраструктура открытых ключей -

инфраструктура безопасности для распространения открытых

ключей, управления электронными сертификатами и ключами.

Основная задача - обеспечить

доступ любого пользователя к подлинному

открытому ключу любого другого

пользователя, защитить эти ключи от

подмены злоумышленником, а также

организовать отзыв ключа в случае его

компрометации

Privilege Management Infrastructure (PMI)


Инфраструктура управления привилегий –

инфраструктура, позволяющая связать сертификаты PKI с

предоставлением каких-либо привилегий и полномочий.

Для PMI используется выпуск атрибутных

сертификатов, связывающих данный сертификат PKI с каким-

либо набором привилегий и/или полномочий. PMI является

инфраструктурой, которая существует наряду PKI, а не как

часть PKI.

Существующие информационные системы


• Системы сдачи отчетности (ФНС, ПФР,

ФСС, ФСРАР и др.).

• Системы межведомственного

электронного взаимодействия.

• Системы дистанционного банковского

обслуживания и платёжные системы.

• Электронные торги.

• Корпоративные системы.

Недостатки


Невозможность удовлетворения требований к наполнению сертификата со

стороны неограниченного круга информационных систем.

Увеличение частоты отзыва действительных сертификатов в связи со

сменой роли / полномочий.

Трудности в получении достоверной дополнительной информации о

пользователе сотрудниками УЦ.

Противоречие между сохранением конфиденциальности персональных

данных и необходимостью размещать сертификаты в общедоступном

реестре.

Атрибутный сертификат (АС)


АС — структура, подобная Х.509 сертификату.

Основное отличие — АС не содержит открытого ключа и не

обеспечивает связь открытого ключа и его владельца.

АС содержит набор атрибутов,

характеризующий владельца. Атрибуты могут определять

членство в некоторой группе, роль, признаки безопасности,

авторизационную информацию и т.д. и т.п.

Наглядное отличие


Сертификат ключа подписи

продолжительность по

времени;

не простая процедура

получения;

зачастую общедоступное

размещение.

Атрибутный сертификат

выпускается зачастую другой

организацией, нежели СКП;

не продолжительны по

времени;

размещение в системе

ограниченного доступа.

Экономические преимущества


Внедрение АС позволяет использовать внешний PKI и

содержать только собственного атрибутного издателя для

указания ролей и полномочий лицам, зарегистрированным во

внешнем PKI, которому доверяет система.

Тем самым исчезает необходимость содержать

собственный УЦ, деятельность которого лицензируется.

Атрибутные сертификаты и 63-ФЗ


«Квалифицированная электронная подпись

используется с учетом ограничений, содержащихся в

квалифицированном сертификате лица, подписывающего

электронный документ (если такие ограничения установлены).»

Формулировки 63-ФЗ касаются только факта признания

подписи!

Предполагаемая схема взаимодействия


Пример взаимодействия в системе электронного правительства


Пример использования


Выписки из Реестров (выписка из

ЕГРЮЛ).

При подобном переводе её в электронный

вид легко управляется срок действия выписки,

появляется возможность досрочно её отозвать (при внесении

изменений).

Это безусловно повысит степень доверия и актуальность

выписки (уменьшение числа обращений и уменьшение

различных мошеннических действий с данной информацией).

Пример использования


Интернет-банкинг

Аутентификация пользователя и

действительность платежного поручения определяется

криптографическими свойствами ЭП и защищенного

соединения на ключах, сертификат которого выдан во внешнем

по отношению к банковской системе УЦ, а фактическая

информация о счете пользователя оформляется в виде

атрибутного сертификата.

Использование атрибутных сертификатов в рамках 63-ФЗ

Documents