Национальные тесты корректности функционирования Узла международного взаимодействия в сфере ЭЦП В качестве введения: Вопросы совместимости. Сезон 2007. - презентация

1 Национальные тесты корректности функционирования Узла международного взаимодействия в сфере ЭЦП В качестве введения: Вопросы совместимости. Сезон 2007 года Санкт - Петербург 2007г. Ситуацию в российской зоне PKI на конец 2006 года можно охарактеризовать как начало перехода из количества в качество. В рамках ФУЦ запущен в опытную эксплуатацию новый компонент - Узел международного взаимодействия с сфере ЭЦП, расширяющий ФУЦ новым Сервисом «Доверенной третьей стороны». ЕГР содержит уже достаточный список доверенных издателей УЦ. Стартовал проект «Портал доверенных услуг». Уже присутствуют объединенные домены доверия различного назначения, включая ведомственную принадлежность (ФНС, ПФ), т.д.

2 Через укрупнение и интеграцию к реализации функций «Электронного Государства» Следующим логическим шагом 2007 года, следует ожидать укрупнение, решение технических проблем при объединении доменов доверия и более плотную интеграцию с прикладными системами, а также внедрение новых сервисов основанных на PKI, реализующих функции «Доверенной третьей стороны». Через укрупнение и интеграцию – наметилась тенденция к развитию инфраструктуры доверенной стороны третьей – «электронного государства», основой которой являются сервисы на базе системы удостоверяющих центров и ресурсы государственных информационных систем. Санкт - Петербург 2007г.

3 Наиболее значимые этапы решения вопросов совместимости технического базиса PKI систем Необходимым условием дальнейшего развития является разработка методологической базы, позволяющей оценить готовность и совместимость различных ИС к взаимодействию с сервисами «электронного государства» Санкт - Петербург 2007г.

4 Необходимость создания тестов: Одно из условий практического применения Узла международного взаимодействия с сфере ЭЦП – аудит и оценка готовности различных ИС к использованию данной услуги, а также возможность интеграции существующих ИС между собой. Чем раньше (еще на этапе проектирования и опытной эксплуатации) будут применяться методики аудита и оценки готовности ИС - тем меньше трудозатраты и издержки на практическое использование сервисов. И наша задача – обеспечение фактическим тестовым материалом. Взаимодействие осуществляется со связанными зарубежными функционально аналогичными Узлами – гармонизация требований к Узлу в плане совместимости. Санкт - Петербург 2007г.

5 Методика проведения тестов Методика проведения тестов совместимости PKI компонент, в законченном виде была представлена Национальным Институтом стандартов и технологий США (NIST) в сентябре 2004 года. Методика основана на анализе функционирования абстрактного приложения с конкретным входным тестовым материалом. Общее число тестов превышает 200. Тестовый материал выполнен как набор сертификатов различного наполнения, СОС, S/MIME сообщений и служебных объектов. Для механизмов управления и точек указания служебной информации используются специальные расширения в составе сертификатов открытых ключей, определенные RFC 3280 Санкт - Петербург 2007г.

6 Структура тестов включает: 1.Оригинальный тестовый материал НИСТ с зарубежными криптографическими алгоритмами 2.Тестовый материал с отечественными криптографическими алгоритмами – аналог НИСТ за исключением применяемых криптографических алгоритмов 3.Набор сценариев, позволяющих провести серии тестов непосредственно Узлом международного взаимодействия в сфере ЭЦП Санкт - Петербург 2007г.

7 Состав тестов Сгруппированный в серии тестовый материал предоставляет всю необходимую информацию по определению прогнозируемости и корректности поведения приложения при: 1.Проверке цифровые подписи на сертификате 2.Обработке различных дат начала и окончания действия сертификатов, с учетом различных способов представления этих дат 3.Проверке имен в цепочки сертификации 4.Определении статуса сертификатов и корректности самих СОС, а также обновлений (delta-CRL) к регулярным СОС, что позволяет строить ИС приблидженные к режиму Real-Time 5.Построении и проверки цепочки сертификации, содержащей самовыпущенные сертификаты, применения которых необходимо при смене ключей УЛ и в некоторых других условиях эксплуатации УЦ 6.Указании основных ограничений (basicConstarints) 7.Фактическом и заявленном в сертификате использовании ключа 8.Указании политики сертификатов, наложение политик, управление политиками Санкт - Петербург 2007г.

8 Состав тестов (продолжение) 9. Построении цепочки с присутствующими ограничениями на имена из состава сертификатов 10. Указании в сертификатах точек распространения служебной информации, таких как СОС, AIA … 11. Указании в сертификатах частных («не известных» приложению) расширений Как следует из задач, решаемых отдельными сериями, в совокупности сами тесты носят универсальный и достаточно всеобъемлющий характер. Набор тестов может быть использован как справочный материал в процессе проектирования и анализа схем взаимодействия и организации доверия в сложных PKI системах. Санкт - Петербург 2007г.

9 Правильно спроектированная PKI система должна предотвращать коллизии, а не фиксировать их факт в момент разбора ситуации. Санкт - Петербург 2007г.

10 Соответствие политик при объединении доменов Санкт - Петербург 2007г.

11 Выравнивание-перекрытие политик при объединении доменов Санкт - Петербург 2007г.

12 Заключение Созданы формальные условия, позволяющие прогнозировать, подтвердить и гарантировать корректность поведения Узла Службы «Третьей доверенной стороны» в режиме трансграничного электронного обмена. Созданы формальные критерии, позволяющие оценить готовность (способность) различных ИС использовать данную услугу. Чем раньше (еще на этапе проектирования и опытной эксплуатации) будут применяться подготовленные методики - тем меньше трудозатраты и издержки на практическое использование сервисов. Созданный комплект тестов, является универсальным инструментом, позволяющим моделировать поведение абстрактных PKI систем, в том числе различных производителей и использующих различные криптографические алгоритмы. А также делать аргументированные выводы о совместимости тех или иных технических решений при возможной интеграции существующих ИС между собой. Основой при создании комплекта тестов являлись зарекомендовавшие себя международные методики Национального Института стандартов и технологии (NIST). Санкт - Петербург 2007г.

13 Вопросы ??? Санкт - Петербург 2007г. Муругов Сергей Михайлович