Применение атрибутных сертификатов (АС) в системах защищенного ЭДО • Стандартный технический инструментарий для указания дополнительной и ролевой информации, определён в RFC 3281, RFC 4476 и в Х. 842 • АС используются в ЕС и регламентируются рядом стандартов, например: – ETSI TR 102 044 (Требования к указанию ролевых признаков и атрибутов) – ETSI TS 102 158 (Требования к политикам сервисов по выпуску атрибутных сертификатов, предназначенных для использования с квалифицированными сертификатами. ) • Атрибутные Издатели входят в европейский список доверенных сервисов, и содержат квалифицированную (достоверную) информацию. Пример - список Польши https: //www. nccert. pl/tsl/PL_TSL. xml: – <tsl: Name xml: lang="EN">Certification authority issuing Qualified Attribute Certificates</tsl: Name> Infodocum 2010
Что такое атрибутный сертификат? АС — структура, подобная Х. 509 сертификату. Основное отличие - АС не содержит открытого ключа и не обеспечивает связь открытого ключа и его владельца. Наглядное отличие через аналогию: – Сертификаты открытого ключа – паспорт, идентифицирующий владельца: • продолжителен по времени; • может иметь не совсем простую процедуры получения; • размещение как правило публичное. – АС более походят на въездную визу или пропуск: • • выпускаются как правило другой организацией нежели сертификат; не настолько продолжительны во времени; процедура более проста, поскольку идентификация была произведена ранее; размещение как правило не публичное. • АС содержит набор атрибутов, характеризующий владельца. Атрибуты могут определять членство в некоторой группе, роль, признаки безопасности, авторизационную информацию и т. д. и т. п. • Владельцем АС может быть именованный объект или абстрактные данные, связанные с АС через хэш-функцию атрибута holder, т. с. атрибуты как бы обезличены (имея АС сложно понять к какому владельцу он относится). Infodocum 2010
Классификация АС по способам доставки Infodocum 2010
АС, входящие в состав ЭЦП - носители некоторых метаданных документа Выписка из аналога нашего Реестра юрлиц в части декларирования полномочий автора Certyfikaty atrybutu sposobem na zarządzanie uprawnieniami Andrzej Ruciński ------------------ Międzyzdroje 4 -5. 06. 2008
Классификация АС по принадлежности к владельцу Infodocum 2010
АС связанный с сертификатом открытого ключа. Следует ли нагружать сертификат открытого ключа, ролевой и иной информацией персонального и конфиденциального характера? • ? ? ? Персональная информация чаще меняется чем Ф. И. О. • ? ? ? Организационная граница «Отдел кадров» - «Отдел режима» . • ? ? ? Явный конфликт с 152 -ФЗ «О персональных данных» . • ? ? ? Очень часто НЕТ способов внести в состав сертификата открытого ключа, при его создании, именно ту информацию, которая будет требоваться на обрабатываемой стороне. Infodocum 2010
АС связанный с данными, вырожденный до уровня метки целостности и актуальности информации. ü ГОСТ Р ИСО 15489 -1 -2007 - документ должен содержать объединенные с ним метаданные, отражающие операции деловой активности. Метаданные должны содержать указания, обеспечивающие пригодность документа для последующего использования …. . ü В целом ряде случаев характеристики деловой активности требуют возможность указания периода действительности документа, а также возможность преждевременного вывода его из документального обращения – обеспечить актуальность информации. ü Техническая реализация ЭЦП (привычный всем формат ЭЦП в виде CMS (PKCS#7), или «подпись с расширенными данными для проверки» по ETSI TS 101 733) не предоставляет механизмов обеспечить актуальность документа. ü Для реализации всего выше изложенного требуются иные механизмы – метка целостности и актуальности информации как АС связанный с данными, позволяющий указать период действительности документа и предоставлять возможность преждевременного вывода его из документального обращения. Infodocum 2010
Самые типичные области использования метки: ü Бизнес-процессы, в которых исходящие документы имеют функции разрешения или лицензии на что либо, выдаваемые на определенный срок и с возможностью преждевременного отзыва. Лицензии на право использования ПО с автоматическим контролем целостности самого ПО. ü Различного рода выписки из Реестров, Кадастров и иных фактофиксирующих систем. Наиболее наглядный пример, если с использованием метки актуальности оформить электронную выписку из Единого Реестра Юридических Лиц, то в десятки бы раз уменьшилась число обращений за выписками, поскольку не потребовалось бы запрашивать в ФНС выписки, если содержание Реестра не менялось. Также создается возможность локального (со стороны юрлица) контроля факта изменения Реестра, что есть один из элементов противодействия рейдерским захватам. Infodocum 2010
Реестры - типичный пример фактофиксирующей информационной системы На рисунке изображено информационное дерево абстрактного Реестра (созданного средствами Records Management System) с автоматическим формированием новых выписок и отзыва старых, фиксировании во времени хранимых данных, пролонгация действительности ЭЦП и т. п. чего требует ГОСТ Р ИСО 15489 -1 -2007 в части характеристик документа и документных систем Infodocum 2010
АС связанный со сложно организованными, структурированными данными В реальных бизнес-процессах, циркулирующая между ИС информация, размещаемая как правило в контейнерах и представляет собой более сложную конструкцию, нежели просто некий текст, пусть даже с ЭЦП. И такой контейнер информации: Должен иметь механизмы защиты целостности данных и идентификации источника данных. Иметь язык описания и правила кодирования в достаточной степени универсальными, позволяющими описывать сложные структуры и типы данных. Пример таких языков: ASN. 1 или XML. Должен иметь признак, по которому информацию в нем содержащуюся (включая и метаданные) можно было бы ассоциировать с событием или информацией в СЭД. И такой контейнер МОЖЕТ быть представлен в виде АС. Infodocum 2010
Обобщенная структура контейнера в виде АС Infodocum 2010
АС - структурированные данные на примере контейнера ПИ Комплект документов ПИ таможенных грузов является структурированными данными, которые очень легко представляются в виде атрибутов в АС и очень просто обрабатываются в ИС (изначально передаются в виде максимально подготовленном к машинной обработке), а также очень легко могут быть объявлены не актуальными при отмене самой поставки груза. Infodocum 2010
Области использования АС: ü Наиболее эффективны в публичном, межведомственном и трансграничном обмене, когда стороны взаимодействия не объединены единой системой ЭДО. ü Для управления разграничением доступа к сетевым ресурсам или процедурой обработки защищенных ЭЦП ЭД с учетом полномочий, ролевых признаков и иных характеристик автора или субъекта доступа. ü АС - метка целостности и актуальности, позволяет распараллелить процессы транспортировки информации и процедуры обеспечения юридической силы документа, а также технически обеспечить актуальность содержания документа. АС - защищенный контейнер, идеально подходит при взаимообмене между ИС структурированной информацией ( «сырыми» данными), максимально подготовленными к последующей машинной обработке. ü Infodocum 2010
ООО «Топ Кросс» , г. Москва. WWW: http: //www. top-cross. ru/ Технические решения Служб «Доверенной Третьей Стороны» Компоненты Удостоверяющего Центра сертификатов ключей подписи, Компоненты Службы «Электронного нотариата» , Службы атрибутирования, Службы доверенного времени, Службы документирования, Службы регистрации и ведения идентификаторов объектов, Клиентское ПО… © 2010 ООО «Топ Кросс» Муругов Сергей Михайлович msm@top-cross. ru Вопросы ? . . .
Скачать презентацию Применение атрибутных сертификатов АС в системах защищенного ЭДО
d9fe2a8c8d6adf38459eee0f5339d3be.ppt