Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.
| Вид материала | Исследование |
Содержание3.5 Алгоритмы и параметры электронных подписей 3.6 Ликвидация ПСУ 3.7 Каталоги сертификатов 3.8 Корневые и связующие центры сертификации |
- Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
- Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
- «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
- Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
- «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
- Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
- Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
- Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
- М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
- Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.
3.5 Алгоритмы и параметры электронных подписейСтандарты безопасности бесполезны без сопроводительных описаний применяемых алгоритмов и параметров (например, длины криптографических ключей). Кроме того, применение одинаковых алгоритмов, конечно же, является предпосылкой совместимости. В рамках системы EESSI ETSI был опубликован Специальный отчет ETSI SR 002 176, содержащий описания алгоритмов и параметров для электронных подписей. Большинство стран пока не выработали каких-либо требований или рекомендаций в отношении алгоритмов и параметров. Лишь некоторые страны (Австрия, Германия, Италия, Испания, Чешская республика, Польша, Болгария, Румыния, Швейцария) опубликовали национальные перечни одобренных или рекомендованных алгоритмов и параметров для электронных подписей. Франция и Швейцария ссылаются на опубликованный EESSI отчет по алгоритмам и параметрам электронных подписей. Только Германия установила порядок и годовую периодичность пересмотра алгоритмов. 3.6 Ликвидация ПСУДля принятия квалифицированных сертификатов на рынке очень важно следование четко определенной процедуре при прекращении деятельности ПСУ. Это позволит избежать того, что все ранее выданные сертификаты станут недействительными. Около половины обследованных стран опубликовала процедуры, в которых указывается, что должно произойти, если ПСУ прекратит свою деятельность. Известно, что как минимум 7 ПСУ прекратили деятельность или слились с другими организациями. Тем не менее, непонятно, выполнялись ли при этом предписанные процедуры, а при отсутствии таких процедур — какой был избран образ действий. Из этого следует сделать один вывод: данное требование необходимо было включить в Приложение II, чтобы гарантировать, что все страны внесут его в свои национальные нормы. К счастью, требования к процедуре ликвидации ПСУ были определены в ETSI TS 101 456 и приняты рядом стран. 3.7 Каталоги сертификатовПриложение II (b) требует от ПСУ «обеспечить функционирование оперативно работающего и защищенного каталога, а также безопасной и незамедлительной услуги по отзыву сертификата». В связи с этим все страны требуют от ПСУ ведения таких каталогов и услуг по отзыву сертификатов. Похоже, что во всех странах процедуры отзыва сертификатов надлежащим образом введены в действие. Все ПСУ ведут списки аннулированных сертификатов, большинство также работают с OCSP. Ни в одной стране нет централизованного каталога выданных сертификатов. 3.8 Корневые и связующие центры сертификацииПроблемой любого объекта, желающего проверить подлинность использованного для электронной подписи сертификата, является проверка надежности выдающего центра сертификации. Например, если получена подпись на основе сертификата, предположительно являющегося квалифицированным, как может получатель удостовериться, что центр сертификации контролируется или аккредитован согласно национальным правилам, и не может ни остановить свои службы, ни покинуть рынок по чьему-либо приказанию? Есть несколько решений данной проблемы: Корневой ЦС, Связующий ЦС и Перечень статусов доверия. Корневым называется ЦС, выдающий сертификаты подчиненным ЦС и находящийся в отношениях прямого доверия с конечным объектом. Это означает, что при использовании общего сертификата Корневого ЦС может быть осуществлена проверка подлинности всех пользовательских сертификатов, находящихся ниже него. Понятие Корневого ЦС не предполагает, что такой ЦС должен обязательно находиться на вершине иерархии: Корневому ЦС лишь доверяют непосредственно и он зачастую использует самоподписанный «корневой сертификат». В некоторых странах был создан единый Корневой ЦС:
Сейчас многие эксперты придерживаются того мнения, что ценность использования Корневого ЦС преувеличена. При определении надежности и статуса ЦС, выдающих сертификаты, данный инструмент оказывается очень грубым. В коммерческих применениях стороны, доверяющие сертификату, чаще всего предпочитают прямо указывать центры сертификации, которым следует доверять, а не полагаются на автоматизированную цепочку сертификатов. С этим связан еще один чрезвычайно политически значимый вопрос: кто будет отвечать за управление деятельностью такого корневого центра сертификации, и будет ли сам Корневой ЦС соблюдать какие-либо стандарты? То, что это является проблемой, можно увидеть на примере Германии, где RegTP (в качестве органа надзора и аккредитации) также отвечает за функционирование Корневого ЦС. К сожалению, Корневой ЦС не соблюдает единых стандартов PKI в полной мере, что приводит к невозможности обеспечить совместимость всех ПСУ, выдающих квалифицированные сертификаты. Альтернативной, хотя и очень похожей технологией обеспечения доверия посредством единственной точки доверия является концепция Связующего ЦС. Главное отличие по сравнению с Корневым ЦС состоит в том, что пользователь ориентируется на собственный ЦС (и его самоподписанный сертификат) как основу доверия вместо менее известного Корневого ЦС. Каждый из участвующих ЦС затем проводит взаимную сертификацию со Связующим ЦС, и, следовательно, цепочка доверенных сертификатов может быть отстроена от собственного ЦС до любого сертификата конечного объекта через Связующий ЦС. Сейчас в Европе действуют несколько проектов Связующих ЦС. Европейская комиссия в настоящее время планирует внедрение связующего ЦС в рамках IDA. Этот центр будет обеспечивать связь между государственными органами в Европе. Проект «Европейского связующего ЦС» инициирован Deutsche Bank и Deutsche Telekom, и поддерживается TeleTrusT (ссылка скрыта). Хотя идея связующего ЦС выглядит более привлекательно, она на самом деле не удовлетворяет потребность в более подробных сведениях о статусе ЦС. По этой причине в рамках проекта «Корневого ЦС IDA» планируется создание модифицированного корневого ЦС, который также будет включать Перечни статусов доверия. Перечень статусов доверия представляет собой список с данными о ЦС и их статусе. В Италии данная технология была разработана правительством (в данном случае, AIPA) довольно давно с целью распространения информации о статусе аккредитации ЦС, и, по нашим наблюдениям, некоторые страны делают то же самое. В связи с этим ETSI в настоящее время разрабатывает стандарт ETSI TS 102 231, обеспечивающий предоставление гармонизированных данных о статусе ЦС. Его можно будет использовать для корневого ЦС IDA. |