Информация >> Публикации сотрудников компании >>Смирнов В.А. «e-Notary – сервисный центр обслуживания публичных PKI-систем»
«PC Week» №18, 2004 май

«PC Week» №18, 2004 май

Данная статья продолжает цикл публикаций (см. «PC Week» № 44, 48 за 2003 г), посвященных текущему состоянию, проблемам и перспективам развития систем защиты информации, построенных на основе инфраструктуры открытого распределения ключей (PKI - Public Key Infrastructure).

Статья посвящена созданию публичного PKI-сервиса, поддерживающего защищенные приложения, наиболее востребованные сегодня российскими компаниями - это системы защищенной электронной почты и защищенного электронного документооборота. Обе системы реализуют широкий набор сервисных функций в области информационной безопасности, таких как конфиденциальность, аутентификация и контроль целостности информации. Однако, если первая из них обеспечивает защиту только почтовых сообщений, передаваемых по открытым каналам связи (включая Интернет), то вторая решает более широкий круг задач, ориентируясь на создание юридически значимых электронных документов произвольного формата.

Особенностью упомянутых систем является многосвязная архитектура, позволяющая реализовать режим защищенной работы <каждого с каждым>, не накладывая ограничений на число взаимодействующих сторон и топологию сети конфиденциальной связи. Для организации и управления информационной безопасностью в системах подобной сложности использование PKI-технологий наиболее эффективно и оправдано.

В общем случае под PKI понимается специализированный сервис (набор служб и средств администрирования), обеспечивающий все необходимые услуги по управлению ключами пользователей и их цифровыми сертификатами в защищенных информационных системах, использующих двухключевую криптографию. К услугам такого рода относятся, в частности, обеспечение целостности и идентичности открытого ключа, а также списков отозванных ключей (сертификатов), путем их заверения цифровой подписью доверенной стороны. В роли доверенной стороны выступает Удостоверяющий центр (УЦ), являющийся центральным элементом PKI.

Приступая к внедрению PKI-технологий для автоматизации и защиты тех или иных бизнес-процессов, все организации, как правило, проходят ряд обязательных этапов:

  1. Формализация задачи (бизнес - процесса).
  2. Приобретение готового или разработка собственного специализированного приложения для автоматизации процесса и встраивание в него средств криптографической защиты информации (СКЗИ).
  3. Приобретение готового или разработка собственного программного обеспечения (ПО) для организации PKI.
  4. Оценка корректности встраивания СКЗИ в приложение, разработка схемы организации PKI и нормативной документации.
  5. Организация и подготовка служб внедрения, эксплуатации и технической поддержки защищенной системы.
  6. Обучение пользователей.

Очевидно, что пока для решения схожих задач по реализации подсистем информационной безопасности (включая задачи развертывания PKI) не будет выработан единый, универсальный подход, организации будут нести неоправданные потери на построение своими силами практически идентичных систем.

Возможным выходом из такого положения является создание публичного PKI-сервиса, ориентированного на поддержку наиболее распространенных защищенных приложений, к которому можно просто подключиться и получить необходимый набор услуг (по аналогии с подключением к Интернет, сетям сотовой связи и т.п.). Данное решение позволило бы существенно сократить денежные и временные затраты организаций за счет исключения этапов 2, 3 и 4 при построении систем информационной безопасности. Кроме того, появление публичных PKI систем позволит решить проблему создания единого информационного пространства с выведением прикладных систем защиты информации с использованием ЭЦП на межкорпоративный уровень.

В настоящее время к реализации подобного проекта под названием e-Notary приступила компания Сигнал-КОМ. Цель проекта - создание, развитие и поддержание PKI-системы, обеспечивающей возможность оперативного подключения юридических и физических лиц к публичным сервисам по защите информации, построенным на основе двухключевой криптографии.

Центральной частью проекта является Удостоверяющий Центр Notary-PRO компании, доступ к которому обеспечивается через Web-интерфейс сервисного центра e-Notary - www.e-notary.ru

Первый этап реализации проекта предусматривает обслуживание Удостоверяющим Центром двух, упомянутых в начале статьи, сервисов: защищенной электронной почты и защищенного юридически значимого электронного документооборота.

Сервис защищенной электронной почты строится на основе криптопровайдера Signal-COM CSP и обеспечивает конфиденциальность почтовой переписки (путем шифрования) и аутентификацию автора почтового сообщения (путем формирования электронной цифровой подписи - ЭЦП). Signal-COM CSP реализует российские криптографические алгоритмы и может использоваться совместно с любой из почтовых программ Microsoft Outlook Express, Microsoft Outlook, The Bat! и др., поддерживающих стандартный криптографический интерфейс компании Microsoft - CryptoAPI 2.0.

Сервис юридически значимого защищенного электронного документооборота строится на основе программного комплекса File-PRO (разработки компании Сигнал-КОМ) и предназначается для внутрикорпоративного и межкорпоративного использования в различных прикладных автоматизированных и полуавтоматизированных системах, заменяющих собой обычный бумажный документооборот.

Одним из эффективных применений сервиса на основе File-PRO является построение системы легитимного обмена в электронном виде первичными и сводными бухгалтерскими учетными документами при оказании услуг и товарном обмене между юридическими лицами в РФ.

Теперь несколько слов о сертификатах, выдаваемых для поддержки сервисов. До сих пор при построении PKI систем вопрос о разграничении по степени доверия на выдаваемые сертификаты в явном виде не ставился, поскольку на практике большинство PKI систем имеют архитектуру «звезда» с организатором сервиса в центре. Организатор сам проверяет документы, выдает ПО и сертификаты участникам сервиса и самостоятельно решает вопрос о доверии. Для публичных сервисов, построенных по архитектуре «каждый с каждым» в зависимости от решаемых задач и назначения сервиса вопрос о степени доверия может ставиться по-разному и поэтому требует введения разграничения на типы выдаваемых сертификатов.

Исходя из этого УЦ сервисного центра e-Notary выдает сертификаты трех типов - тестовые, низкой и высокой степени доверия. Тестовые сертификаты, как следует из их названия, предназначены для работы в тестовом режиме на этапе ознакомления с сервисами. Остальные типы сертификатов тесно связаны с назначением самих сервисов и с решаемыми при подключении к ним задачами. Если в первую очередь абонентов интересует обеспечение конфиденциальности при передаче информации через Интернет и удобство подключения (дистанционно, без обязательного посещения офиса компании-организатора), то они могут получить соответствующий сертификат анонимно, через сеть. Понятно, что это будет сертификат низкой степени доверия и, проверяемые с помощью него, ЭЦП не имеют юридической значимости, т.к. не обеспечивают гарантированной связи секретного ключа с атрибутами владельца, упомянутого в сертификате.

В случае, когда для абонентов требуется юридическая значимость подписанных с помощью ЭЦП документов, им выдаются сертификаты высокой степени доверия на основе предоставляемых документов. Для физических лиц - это паспорт, для юридических - паспорт и нотариально заверенная справка, подтверждающая статус данного физического лица в организации. Подобная справка произвольной формы выдается на основании такого же набора документов, как и при заверении карточки образцов подписей для банка. Заметим, что в обоих случаях сертификаты в соответствии с законом об ЭЦП выдаются на имена физических лиц. Технологически разграничение сертификатов по степени доверия реализуется на основе использования различных сертификатов корневого авторитета УЦ.

Для подтверждения авторства подписанного документа, а также для разрешения других спорных моментов, связанных с применением ЭЦП, в рамках сервисного центра e-Notary предлагаются услуги независимого эксперта и специализированное ПО - Arbiter-PKI.