Использование атрибутных сертификатов в рамках 63-ФЗ Михайлов Никита Сергеевич Исполнительный директор Удостоверяющего Центра Сибири ТУСУР Научный руководитель: д.т.н., профессор Шелупанов А.А.
Public Key Infrastructure (PKI) © ИСИБ, 2012Михайлов Никита Сергеевич, Инфраструктура открытых ключей - инфраструктура безопасности для распространения открытых ключей, управления электронными сертификатами и ключами. Основная задача - обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации
Privilege Management Infrastructure (PMI) © ИСИБ, 2012Михайлов Никита Сергеевич, Инфраструктура управления привилегий – инфраструктура, позволяющая связать сертификаты PKI с предоставлением каких-либо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий. PMI является инфраструктурой, которая существует наряду PKI, а не как часть PKI.
Существующие информационные системы © ИСИБ, 2012Михайлов Никита Сергеевич, Системы сдачи отчетности (ФНС, ПФР, ФСС, ФСРАР и др.). Системы межведомственного электронного взаимодействия. Системы дистанционного банковского обслуживания и платёжные системы. Электронные торги. Корпоративные системы.
Недостатки © ИСИБ, 2012Михайлов Никита Сергеевич, Невозможность удовлетворения требований к наполнению сертификата со стороны неограниченного круга информационных систем. Увеличение частоты отзыва действительных сертификатов в связи со сменой роли / полномочий. Трудности в получении достоверной дополнительной информации о пользователе сотрудниками УЦ. Противоречие между сохранением конфиденциальности персональных данных и необходимостью размещать сертификаты в общедоступном реестре.
Атрибутный сертификат (АС) © ИСИБ, 2012Михайлов Никита Сергеевич, АС структура, подобная Х.509 сертификату. Основное отличие АС не содержит открытого ключа и не обеспечивает связь открытого ключа и его владельца. АС содержит набор атрибутов, характеризующий владельца. Атрибуты могут определять членство в некоторой группе, роль, признаки безопасности, авторизационную информацию и т.д. и т.п.
Наглядное отличие © ИСИБ, 2012Михайлов Никита Сергеевич, Сертификат ключа подписи продолжительность по времени; не простая процедура получения; зачастую общедоступное размещение. Атрибутный сертификат выпускается зачастую другой организацией, нежели СКП; не продолжительны по времени; размещение в системе ограниченного доступа.
Экономические преимущества © ИСИБ, 2012Михайлов Никита Сергеевич, Внедрение АС позволяет использовать внешний PKI и содержать только собственного атрибутного издателя для указания ролей и полномочий лицам, зарегистрированным во внешнем PKI, которому доверяет система. Тем самым исчезает необходимость содержать собственный УЦ, деятельность которого лицензируется.
Атрибутные сертификаты и 63-ФЗ © ИСИБ, 2012Михайлов Никита Сергеевич, «Квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).» Формулировки 63-ФЗ касаются только факта признания подписи!
Предполагаемая схема взаимодействия © ИСИБ, 2012Михайлов Никита Сергеевич,
Пример взаимодействия в системе электронного правительства © ИСИБ, 2012Михайлов Никита Сергеевич,
Пример использования © ИСИБ, 2012Михайлов Никита Сергеевич, Выписки из Реестров (выписка из ЕГРЮЛ). При подобном переводе её в электронный вид легко управляется срок действия выписки, появляется возможность досрочно её отозвать (при внесении изменений). Это безусловно повысит степень доверия и актуальность выписки (уменьшение числа обращений и уменьшение различных мошеннических действий с данной информацией).
Пример использования © ИСИБ, 2012Михайлов Никита Сергеевич, Интернет-банкинг Аутентификация пользователя и действительность платежного поручения определяется криптографическими свойствами ЭП и защищенного соединения на ключах, сертификат которого выдан во внешнем по отношению к банковской системе УЦ, а фактическая информация о счете пользователя оформляется в виде атрибутного сертификата.
© ИСИБ, Михайлов Никита Сергеевич, Спасибо за внимание! Пожалуйста, вопросы.