МЕЖДУНАРОДНЫЙ ОПЫТ УПРАВЛЕНИЯ СЕРТИФИКАТАМИ КОРНЕВЫХ ЦЕНТРОВ АО «ИРПТ» Волкова Ксения АО «Институт развития передовых технологий»

Управление ключами PKI Управление ключами в системе PKI состоит из процедур, обеспечивающих: включение пользователей в систему; выработку, распределение и введение в аппаратуру ключей; контроль использования ключей; смену и уничтожение ключей; архивирование, хранение и восстановление ключей. Целью управления ключами является нейтрализация таких угроз, как: компрометация конфиденциальности закрытых ключей; компрометация аутентичности закрытых или открытых ключей. несанкционированное использование закрытых или открытых ключей, например использование ключа, срок действия которого истек. 2

Словацкая Республика 3 Root CA (CA1) ACA (CA2)

4 IssuerSubjectValidityAlgorithm Next CRL СА высшего уровня (СА 1) CA1 2 YRSA день CA1 10 YRSA месяцев CA1 16 YRSA день СА второго уровня (СА2) СА1СА210 YRSA день Пользователи СА 2 Конечный пользователь 3 YRSA 2048 Словацкая Республика

Королевство Бельгия Root CA (CA1) CA2 Root CA (CA1) CA2 Top Root CA (CA0) CA2 5

Королевство Бельгия 6 IssuerSubjectValidityAlgorithm Next CRL СА высшего уровня (СА 1) Top Root CA (GlobalSign) СА1 11 Y RSA M CA 1 11 Y RSA M СА второго уровня (СА2) СА1СА26 Y 8MRSA M Пользователи СА 2 Конечный пользователь 5 Y 3 MRSA 1024

Республика Беларусь Root CA (CA1) CA2 7

Республика Беларусь IssuerSubjectValidityAlgorithm Next CRL СА высшего уровня (СА 1) СА1 15 Y СТБ M1 M1 M1 M СА второго уровня (СА2) СА1СА210 YСТБ M Пользователи СА 1 (2) Конечный пользователь 3 Y (физлицо) 1 Y (юрлицо) СТБ

США 9

Республика Молдова Root CA (CA1) CA3 CA2 10

Республика Молдова 11 IssuerSubjectValidityAlgorithm Next CRL СА высшего уровня (СА 1) CA 1 5 Y5 Y5 Y5 Y RSA M СА второго уровня (СА2) СА1СА22 Y 6MRSA M СА второго уровня (СА3) СА2 1 Y 3MRSA M Пользователи СА2(3) Конечный пользователь 1 YRSA 2046

Особенности политики управления сертификатами Срок действия закрытого ключа уполномоченного лица центра сертификации составляет: 2 года и 6 месяцев – для центра сертификации высшего уровня; 1 год и 3 месяца – для центров сертификации второго уровня; 7 месяцев – для центров сертификации третьего уровня. Начало периода действия закрытого ключа исчисляется с даты и времени начала срока действия сертификата соответствующего открытого ключа. Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица центра сертификации, составляет: 5 лет – для центра сертификации высшего уровня; 2 года и 6 месяцев – для центров сертификации второго уровня; 1 год и 3 месяца – для центров сертификации третьего уровня. Республика Молдова 12

Плановая смена открытых и закрытых ключей уполномоченных лиц центров сертификации осуществляется не ранее одного месяца до истечения срока действия закрытого ключа и не позднее истечения срока действия закрытого ключа. Внеплановая смена открытых и закрытых ключей уполномоченных лиц центров сертификации осуществляется в случае компрометации или угрозы компрометации закрытого ключа. В рамках процедуры смены закрытого и открытого ключей уполномоченного лица центра сертификации высшего уровня, данное лицо: создает новую пару ключей (закрытый и открытый); создает сертификат открытого ключа в форме электронного документа, содержащий старый открытый ключ, и подписывает его цифровой подписью с использованием нового закрытого ключа; создает сертификат открытого ключа в форме электронного документа, содержащий новый открытый ключ, и подписывает его цифровой подписью с использованием закрытого ключа, срок действия которого истекает; создает сертификат открытого ключа в форме электронного документа, содержащий новый открытый ключ, и подписывает его цифровой подписью с использованием нового закрытого ключа. Республика Молдова 13

В рамках процедуры смены открытых и закрытых ключей уполномоченного лица центра сертификации второго или третьего уровня, данное лицо: создает новую пару ключей (закрытый и открытый); сертифицирует новый открытый ключ в вышестоящем центре сертификации. Старый закрытый ключ уполномоченного лица центра сертификации перестает действовать с момента создания сертификата нового открытого ключа. Сертификат старого открытого ключа уполномоченного лица центра сертификации продолжает действовать до истечения срока его действия. По истечении срока действия закрытого ключа он используется до истечения срока действия сертификата открытого ключа, соответствующего этому закрытому ключу, только для подписания списка отозванных сертификатов. По истечении срока действия сертификата открытого ключа, соответствующего закрытому ключу, закрытый ключ уничтожается. Сертификат открытого ключа уполномоченного лица центра сертификации высшего уровня, содержащий новый открытый ключ и подписанный цифровой подписью с использованием закрытого ключа, срок действия которого истекает, а также сертификат открытого ключа уполномоченного лица центра сертификации высшего уровня, содержащий старый открытый ключ и подписанный цифровой подписью с использованием нового закрытого ключа, действуют до истечения срока действия сертификата старого открытого ключа. Республика Молдова 14

Украина 15 Root CA (CA1) CA3 CA2

Украина 16 IssuerSubjectValidityAlgorithm Next CRL СА высшего уровня (СА 1) СА1 5 YДСТУ 4145: D СА второго уровня (СА2) СА1СА25 YДСТУ 4145: D/2 H СА третьего уровня (СА3) СА2СА35 YДСТУ 4145: D/2 H Пользователи СА2 (3) Конечный пользователь 2 YДСТУ 4145: 2002

Вопрос для обсуждения Алгоритм проверки цепочки сертификатов 17

АО «ИРПТ» СПАСИБО ЗА ВНИМАНИЕ Волкова Ксения АО «Институт развития передовых технологий»