Применение атрибутных сертификатов (АС) в системах защищенного ЭДО Стандартный технический инструментарий для указания дополнительной и ролевой информации, определён в RFC 3281, RFC 4476 и в Х.842 АС используются в ЕС и регламентируются рядом стандартов, например: –ETSI TR (Требования к указанию ролевых признаков и атрибутов) –ETSI TS (Требования к политикам сервисов по выпуску атрибутных сертификатов, предназначенных для использования с квалифицированными сертификатами.) Атрибутные Издатели входят в европейский список доверенных сервисов, и содержат квалифицированную (достоверную) информацию. Пример - список Польши – Certification authority issuing Qualified Attribute Certificates Infodocum 2010

Что такое атрибутный сертификат? АС структура, подобная Х.509 сертификату. Основное отличие - АС не содержит открытого ключа и не обеспечивает связь открытого ключа и его владельца. Наглядное отличие через аналогию: –Сертификаты открытого ключа – паспорт, идентифицирующий владельца: продолжителен по времени; может иметь не совсем простую процедуры получения; размещение как правило публичное. –АС более походят на въездную визу или пропуск: выпускаются как правило другой организацией нежели сертификат; не настолько продолжительны во времени; процедура более проста, поскольку идентификация была произведена ранее; размещение как правило не публичное. АС содержит набор атрибутов, характеризующий владельца. Атрибуты могут определять членство в некоторой группе, роль, признаки безопасности, авторизационную информацию и т.д. и т.п. Владельцем АС может быть именованный объект или абстрактные данные, связанные с АС через хэш-функцию атрибута holder, т.с. атрибуты как бы обезличены (имея АС сложно понять к какому владельцу он относится). Infodocum 2010

Классификация АС по способам доставки Infodocum 2010

АС, входящие в состав ЭЦП - носители некоторых метаданных документа Certyfikaty atrybutu sposobem na zarządzanie uprawnieniami Andrzej Ruciński Międzyzdroje Выписка из аналога нашего Реестра юрлиц в части декларирования полномочий автора

Классификация АС по принадлежности к владельцу Infodocum 2010

АС связанный с сертификатом открытого ключа. ??? Персональная информация чаще меняется чем Ф.И.О. ??? Организационная граница «Отдел кадров» - «Отдел режима». ??? Явный конфликт с 152-ФЗ «О персональных данных». ??? Очень часто НЕТ способов внести в состав сертификата открытого ключа, при его создании, именно ту информацию, которая будет требоваться на обрабатываемой стороне. Следует ли нагружать сертификат открытого ключа, ролевой и иной информацией персонального и конфиденциального характера? Infodocum 2010

АС связанный с данными, вырожденный до уровня метки целостности и актуальности информации. ГОСТ Р ИСО документ должен содержать объединенные с ним метаданные, отражающие операции деловой активности. Метаданные должны содержать указания, обеспечивающие пригодность документа для последующего его использования ….. В целом ряде случаев характеристики деловой активности требуют возможность указания периода действительности документа, а также возможность преждевременного вывода его из документального обращения – обеспечить актуальность информации. Техническая реализация ЭЦП (привычный всем формат ЭЦП в виде CMS (PKCS#7), или «подпись с расширенными данными для проверки» по ETSI TS ) не предоставляет механизмов обеспечить актуальность документа. Для реализации всего выше изложенного требуются иные механизмы – метка целостности и актуальности информации как АС связанный с данными, позволяющий указать период действительности документа и предоставлять возможность преждевременного вывода его из документального обращения. Infodocum 2010

Бизнес-процессы, в которых исходящие документы имеют функции разрешения или лицензии на что либо, выдаваемые на определенный срок и с возможностью преждевременного отзыва. Лицензии на право использования ПО с автоматическим контролем целостности самого ПО. Различного рода выписки из Реестров, Кадастров и иных фактофиксирующих систем. Наиболее наглядный пример, если с использованием метки актуальности оформить электронную выписку из Единого Реестра Юридических Лиц, то в десятки бы раз уменьшилась число обращений за выписками, поскольку не потребовалось бы запрашивать в ФНС выписки, если содержание Реестра не менялось. Также создается возможность локального (со стороны юрлица) контроля факта изменения Реестра, что есть один из элементов противодействия рейдерским захватам. Самые типичные области использования метки: Infodocum 2010

Реестры - типичный пример фактофиксирующей информационной системы На рисунке изображено информационное дерево абстрактного Реестра (созданного средствами Records Management System ) с автоматическим формированием новых выписок и отзыва старых, фиксировании во времени хранимых данных, пролонгация действительности ЭЦП и т.п. чего требует ГОСТ Р ИСО в части характеристик документа и документных систем Infodocum 2010

АС связанный со сложно организованными, структурированными данными В реальных бизнес-процессах, циркулирующая между ИС информация, размещаемая как правило в контейнерах и представляет собой более сложную конструкцию, нежели просто некий текст, пусть даже с ЭЦП. И такой контейнер информации: Должен иметь механизмы защиты целостности данных и идентификации источника данных. Иметь язык описания и правила кодирования в достаточной степени универсальными, позволяющими описывать сложные структуры и типы данных. Пример таких языков: ASN.1 или XML. Должен иметь признак, по которому информацию в нем содержащуюся (включая и метаданные) можно было бы ассоциировать с событием или информацией в СЭД. И такой контейнер МОЖЕТ быть представлен в виде АС. Infodocum 2010

Обобщенная структура контейнера в виде АС Infodocum 2010

АС - структурированные данные на примере контейнера ПИ Комплект документов ПИ таможенных грузов является структурированными данными, которые очень легко представляются в виде атрибутов в АС и очень просто обрабатываются в ИС (изначально передаются в виде максимально подготовленном к машинной обработке), а также очень легко могут быть объявлены не актуальными при отмене самой поставки груза. Infodocum 2010

Области использования АС: Наиболее эффективны в публичном, межведомственном и трансграничном обмене, когда стороны взаимодействия не объединены единой системой ЭДО. Для управления разграничением доступа к сетевым ресурсам или процедурой обработки защищенных ЭЦП ЭД с учетом полномочий, ролевых признаков и иных характеристик автора или субъекта доступа. АС - метка целостности и актуальности, позволяет распараллелить процессы транспортировки информации и процедуры обеспечения юридической силы документа, а также технически обеспечить актуальность содержания документа. АС - защищенный контейнер, идеально подходит при взаимообмене между ИС структурированной информацией («сырыми» данными), максимально подготовленными к последующей машинной обработке. Infodocum 2010

ООО «Топ Кросс», г. Москва. WWW: Технические решения Служб «Доверенной Третьей Стороны» Компоненты Удостоверяющего Центра сертификатов ключей подписи, Компоненты Службы «Электронного нотариата», Службы атрибутирования, Службы доверенного времени, Службы документирования, Службы регистрации и ведения идентификаторов объектов, Клиентское ПО… Вопросы ?... © 2010 ООО «Топ Кросс» Муругов Сергей Михайлович