Как создать «отзываемую» электронную подпись? Атрибутные сертификаты
Многие бизнес-процессы предполагают обмен данными, которые, с одной стороны, требуется защитить от изменения, а с другой – каким-то образом сообщить принимающей стороне о том, что данные потеряли свою актуальность и не должны более использоваться. Примеров таких процессов очень много: назначение полномочий должностным лицам, разрешения, выданные на определенный период времени, спецификации товара при грузоперевозках, разграничение доступа к информационным ресурсам и т. д.
Самый простой способ защиты от изменений – выработать электронную подпись (ЭП), но как сделать такую подпись отзываемой? Если отозвать сертификат автора подписи, это приведет к недействительности вообще всех ЭП, созданных на закрытом ключе отозванного сертификата, что, в свою очередь, послужит толчком к огромным организационно-техническим проблемам разрешения этой ситуации и в дополнение, что очевидно, понадобится снова обращаться в УЦ и создавать новый сертификат.
К тому же в последнее время возобновился интерес к проблемам указания и делегирования полномочий при удаленном взаимодействии. Одна из причин – проект очередных поправок в 63-ФЗ «Об электронной подписи» с новым разделом 17.1, определяющим новую сущность «правовой акт» и очевидно, что такой акт должен быть отзываемым.
Одной из технических реализаций создания отзываемых документов может выступать атрибутный сертификат (далее АС).
Правой аспект
Атрибутный сертификат – электронный документ (ЭД), формат которого определен стандартом. Он создан организацией и содержит сведения о юридических фактах с возможностью установления автоматически проверяемой и юридически значимой связи. Создание АС инициируется уполномоченным должностным лицом предприятия: директором, начальником отдела кадров, руководителем делопроизводства и т. п.
АС содержит набор атрибутов, характеризующих: данную организацию, ее должностных лиц, их членство в некоторой группе, роли, признаки безопасности, авторизационную информацию, ЭД организации и их метаданные и другое.
Владелец АС – субъект (физическое или юридическое лицо) или объект – например, документ или сертификат ключа проверки электронной подписи (СКП), сведения о котором содержатся в одном или нескольких АС. Связь АС и его владельца производится с помощью идентификатора, включаемого в АС и однозначно указывающего на владельца по уникальному имени (СНИЛС, ИНН ..., уникальному имени ЭД в дереве имен ЭДО) или свертки от ЭД.
Технический аспект
АС – это двоичный блок данных в кодировке ASN.1 (такой же, как и СКП), компиляторы для которой есть на рынке, в том числе и с лицензиями Open Source. В большинстве случаев структура ASN.1 может легко трансформироваться в XML с массой инструментария по обработке. Связь АС с владельцем осуществляется через специальный атрибут holder.
Структура АС подобна сертификату Х.509. Основное отличие – АС не содержит открытого ключа и не предполагает создание ключевой пары.
Действительность АС ограничена действительностью электронной подписи (ЭП) издателя АС, то есть может иметь значительно более продолжительное время, чем СКП. АС содержит механизмы указания периода действительности, а также досрочного аннулирования, приостановления и восстановления действительности.
АС применяется параллельно с PKI и не требует переделки средств подписи, УЦ и других существующих компонент PKI-инфраструктуры. С 2002 года АС существует как международный стандарт. Сейчас актуальным является RFC 5755 (2010 г.).
Области использования АС
Исходя из особенностей правовых и технических аспектов, можно выделить области, где применение АС наиболее целесообразно.
Для описания правовых статусов (полномочий) должностных лиц организации.
Для управления разграничением доступа к сетевым ресурсам или процедурой обработки защищенных ЭП ЭД с учетом полномочий и иных характеристик автора ЭД или субъекта доступа.
АС – метка целостности и актуальности, является отзываемым аналогом отсоединенной подписи. Используя механизмы управления временем действительности АС, можно технически обеспечить актуальность содержания документа. Такие метки применимы в бизнес-процессах, где ЭД имеют функции разрешения или лицензии на что-либо, выдаваемые на определенный срок и с возможностью отзыва, а также электронные выписки из различных реестров.
АС – защищенный контейнер с сырыми данными, не имеющими визуальное представление. Идеально подходит при обмене структурированной информацией между ИС и максимально пригоден к последующей машинной обработке.
АС наиболее эффективны в публичном, межведомственном и трансграничном обмене, когда стороны не объединены единой системой ЭДО и для юридической значимости контрагентам недостаточно получения ЭД и проверки ЭП автора.
Возможные способы указания полномочий
1. Использовать произвольный ЭД защищенной ЭП. Способ автоматизировать оперативное управление актуальностью контента такого ЭД не определен.
2. Контейнером полномочий выступает СКП. До недавнего времени именно такой подход использовался в ИС, что фактически приводило к необходимости повторных идентификаций субъекта и изготовления отдельных СКП различного назначения.
3. Контейнер полномочий – АС (см.табл.1). Данный способ лишен приведенных выше недостатков.
.jpg)
Электронная подпись и АС
Проведем аналогию с «бумагой», в общем виде на «бумаге» имеется: собственноручная подпись физического лица, реквизиты юридического лица и указания действия с/без доверенности. Самое логичное – последние две позиции оформить в виде АС.
В зависимости от реального бизнес-процесса АС может размещаться внутри ЭП как подписанный или как не подписанный атрибут. Тем не менее более логичным и технологичным видится размещение АС в качестве неподписанного атрибута, что предоставляет большее поле для маневра в архитектуре прикладного уровня и не накладывает дополнительных требований на ПО клиента, предполагая, что PMI (инфраструктура управления полномочиями) и PKI (инфраструктура открытых ключей) функционируют параллельно, и каждая из них решает только свои задачи. Наличие АС в ЭП не мешает существующим средствам подписи выполнять свои функции, неизвестные атрибуты просто пропускаются. Если разместить АС в виде подписанного атрибута, это приведет к значительному усложнению логики работы ПО на стороне клиента при неочевидных достоинствах (зачем подписывать то, что и так подписано).
И еще, очень важно определить актуальность ЭД (действительность АС), что совсем не то же самое, что каждый раз, например, запрашивать при необходимости из ЕГРЮЛ выписку (получая в ответ одно и то же) с правами физического лица; нет обращений к шине, нет доступа к самой базе ФНС. Данная операция много безопасней и менее ресурсоемка, и если требуется, можно даже задокументировать факт существования полномочий в текущий момент времени средствами специализированных сервисов онлайн-статусов АС.
Классификация АС по способам доставки
Стандарт предполагает два способа получения АС принимающей стороной.
1. Режим PUSH. АС доставляется вместе с сообщением (АС может содержаться в ЭП) или в рамках сессии.
2. Режим PULL. Принимающая сторона самостоятельно получает АС из Реестра издателя АС в рамках обработки ЭД с ЭП или процедуры разграничении доступа к элементам информационного дерева ресурса.
Препятствия для применения АС в РФ
Слишком общий профиль СКП из Приказа ФСБ № 795 и следом неудачная ставка на указание полномочий внутри СКП, что не противоречило первым редакциям 63-ФЗ. В результате это привело к выпуску множества СКП разного назначения для одного и того же субъекта.
В настоящий момент декларируется, что единый СКП «может применяться в любых правоотношениях», но вопрос фиксации и проверки полномочий повис в воздухе.
Унаследованные ИС, особенно у регуляторов, где полномочия указываются в СКП или во внешних системах управления учетными данными.
Миф о том, что использование АС приведет к переделке средств подписи и УЦ, их пересертификации и т. д., что все, якобы, сложно, долго и дорого.
Игнорирование мирового опыта, например:
-
Республика Беларусь: ПОЛИТИКА ПРИМЕНЕНИЯ АТРИБУТНЫХ СЕРТИФИКАТОВ, изданных республиканским удостоверяющим центром Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (2016 г.). Документ содержит описание услуг, которые оказывает государственный УЦ ГосСУОК по изданию, распространению, хранению АС, а также по управлению отзывом АС и предоставлению информации о статусе АС. В АС определяются права владельца СКП, например, право подписи документов от имени юридического лица, право доступа к информации и т. д. АС являются элементом PMI владельцев СКП. АС применяется в ИС совместно с СКП субъекта, при этом СКП используется для идентификации и аутентификации, а АС для определения его прав.
-
Достаточное количество уже существующих стандартов и международных рекомендаций: АС как стандартный технический инструментарий в основном определен в RFC 5755, RFC 4476 и в Х.842; ETSI TR 102 044 (Требования к указанию ролевых признаков и атрибутов); ETSI TS 102 158 (Требования к политикам сервисов по выпуску атрибутных сертификатов, предназначенных для использования с квалифицированными сертификатами).
-
ГОСТ Р ИСО/ТС 2260-1-2009. Стандарт определяет принципы и сервисы, необходимые для управления полномочиями и контроля доступа. Вводятся понятия: сертификат атрибута как структура данных, заверенная ЭП уполномоченного лица, связывающая некоторые значения атрибута с идентификацией его владельца и уполномоченное лицо – субъект, ответственный за выдачу АС.
-
«Атрибутные издатели» входят в европейский список доверенных сервисов. Например, список доверенных сервисов Республики Польша https://www.nccert.pl/tsl/PL_TSL.xml.
-
Иностранных проектов с использованием АС: Globus, VOMS (Virtual Organization Membership Service), T-Mobile (Deutsche Telekom AG), INTRASYS, Swiss Health Card Association (для карт пациентов и медработников) и т. д.
Примеры информационных систем в РФ, использующих АС
2010 год, ООО «Топ Кросс». Цель проекта – технология управления полномочиями на сервере обновлений ПО. АС имеет срок действия, равный договору сопровождения ПО, и состав с перечнем ПО, взятого на сопровождение.
2010 год, ООО «Таможенно-Брокерский Центр». Корпоративная система ЭДО. АС – структурированная информация по предварительному декларированию таможенных грузов с обеспечением актуальности. Контейнер данных (АС) максимально приспособлен к защищенной транспортировке и машинной обработке. При потере актуальности данных по любым причинам (замена товара, замена транспорта и т. д.) АС может быть отозван, на принимающей стороне не окажется множества ЭД, в том числе и неактуальных, но все с действительными ЭП отправителя, что однозначно привело бы к коллизиям.
2013 год, ООО «РТО» и Ассоциация Электронных Торговых Площадок. Цель – использовать указания полномочий при трансграничном ЭДО на электронных торговых площадках для зарегистрированных субъектов внешнеэкономической деятельности.
2017 год, Группа компаний «ФИННЕТ-СЕРВИС». Цель проекта – создание модуля к «1С-Кадры» для инфраструктуры управления полномочиями в распределенном ЭДО.
2016–2018 гг., Пенсионный Фонд Российской Федерации. Цель проекта – обеспечение юридической значимости при длительном хранении ЭД. В АС упакованы процессные метаданные, необходимые для обеспечения аутентичности ЭД.
2017–2018 гг., Группа компаний «Центр открытых систем и высоких технологий». Цель проекта – повышение эффективности работы сотрудников Роспечати за счет создания PMI, использующей АС.
Опубликовано 04.03.2019