Наша зависимость от компьютеров и интернета растет с каждым днем, но, к сожалению, с той же скоростью растет и наша уязвимость.

Подпись программного кода Подпись программного кода Шифрование файловых систем Шифрование файловых систем Смарт-карты … … Защита данных по IP протоколу Защита данных по IP протоколу Аутентификация в Интернете Аутентификация в Интернете Защищенная эл.почта Защищенная эл.почта Приложения, исользующие PKI Услуги сертификации Политики ограничения программ Политики ограничения программ Цифровые подписи Цифровые подписи

5 Доверенная третья сторона ITU-T X.842

Политика PKI Безопасность практики сертификации во многом зависит от качества разработки политики PKI. Точно спроектированная политика повышает безопасность модели доверия PKI. Доверие - это фундамент инфраструктур открытых ключей,

ITU-T X.509 | ISO/IEC политика сертификации определяется как «поименованный набор правил, указывающий на возможность использования сертификата в пределах определённой группы лиц и/или некоторых областей применения с общими требованиями к безопасности». ITU-T Rec. X.842

Политика сертификации должна быть признана >центром, выдавшим сертификат >пользователем сертификата представляется в теле сертификата уникальным зарегистрированным идентификатором объекта (OID). Политика сертификации, которая должна быть официально признана центром, выдавшим сертификат, и пользователем сертификата, представляется в теле сертификата уникальным зарегистрированным идентификатором объекта. ITU-T Rec. X.842

Регистрация OID проводится по процедурам, Рекомендации ITU-T X.660 | ISO/IEC Сторона, зарегистрировавшая идентификатор объекта, также публикует текстовое описание сертификационной политики для изучения пользователями. Каждый центр сертификации сертифицируется по одной или нескольким политикам сертификации, которым он официально следует. ITU-T Rec. X.842

PolicyIdentifier Development Signature Validation Policy Development Signing Policy Development Time-Stamping Policy Signature Validation Policy Signing Policy Test Signature Validation Policy Test Signing Policy Test Time-Stamping Policy Time-Stamping Policy Italian Time-Stamping Policy Italian Signature Validation Policy Italian Signing Policy

CANADA Public Works and Government Services Canada CA Name: Government Shared Services (GSS) CA CA DN: ou=1CA-AC1, ou=GSS-SPG, o=GC, c=CA Contact: Certificate Type: Medium Assurance Digital Signature Certificate Policy OID: Expiry of recognition ( ) Canada Revenue Agency CA Name: CRA Internal Services CA CA DN: cn=1CA-AC1, ou=CCRA-ADRC, o=GC, c=CA Contact: Certificate Type: CRA Internal Medium Assurance Digital Signature Certificate Policy OID: Expiry of recognition ( )

National Informatics Centre (NIC) INDIA Обзор политики Сертификаты классов NICCA предлагает сертификационные услуг class-1 Certificate OID class-2 Certificate OID class-3 Certificate OID Цифровые сертификаты подпись (DSC), выданные NICCA публикуются в репозитории NICCA

Международное сотрудничество азиатских стран по созданию рамочной основы Глобальной PKI

Factor Token Very High Medium Standard Low Employee Screening for a High Risk Job Obtaining Govt. Benefits Applying for a Loan Online Access to Protected Website Surfing the Internet Click-wrap Knowledge Pin/Password -Based PKI/ Digital Signature Multi- Increased $ Cost Increased Need for Identity Assurance

University PKI University PKI University PKI A Snapshot of the U.S. Federal PKI NFC PKI Higher Education Bridge CA NASA PKI DOD PKI Illinois PKI CANADA PKI Federal Bridge CA ACES PKI Treasury PKI DOL PKI Wells Fargo Bank State Dept PKI

PKI архитектура

18 PKI/Digital Signature for e-Passport Issuing Country Receiving Country Public Key Directory ICAO CRL CRL e-Passport Accept if equal? CS-CA DS Busan DS Seoul CS-CA DS N.Y. DS M.D. Certificate CSCA Certificate DS Certificate DS CRL CRLCertificate DS Certificate DS Certificate DS

Identrus an international banking trust initiative via an interoperable PKI network

OID: – Visa e-commerce PKI OID: – Visa InfoDelivery PKI OID: – Visa Corporate PKI OID: – Visa Third-Party Corporate PKI

PKI - пока только часть любой инфраструктуры безопасности организации, поэтому политика PKI должна формироваться в русле общей корпоративной политики безопасности и не противоречить ей. Поэтому важна её регистрация (OID) и публикация

Каким же образом достигается уникальность идентификации объектов в мировом пространстве?

Top of the OID Tree itu-t(0) iso(1) joint-iso-itu-t(2) member- body(2) identified-organisation(3) dod(6) internet (1) root recommendation(0) Example: {joint-iso-itu-t(2) tag-based(27) mcode(1)} Note: The name of the 3 top-level arcs do not imply a hierarchical dependency to ISO or ITU-T. country(16) tag-based(27) mcode(1) ISO 3166 country codes

Модель иерархического дерева (OID-tree) предполагает Ветка ITU-Т itu-t(0) находится под администрированием ITU-Т, Ветка ISO iso(1) находится под администрированием ISO, Ветка Joint-ISO-ITU-T joint-iso-itu (2) находится под совместным администрированием ISO и ITU-Т.

Сегодня в этом репозитории хранится более Идентификаторов.

Делегирование полномочий- основной принцип создания международного дерева идентификаторов объектов OID-tree

Стандартом X.660 | ISO/IEC предусматривается, что Национальный администратор OID-tree должен быть определен совместным решением Администрации (ITU) связи и Национальным органом по стандартизации (ISO).

Украинский сегмент межнародного дерева идентификаторов объектов OID - tree

Для регистрации объектов в сфере государственного управления создается ветка {joint-iso-itu-t (2) country(16) ua (804) gov(1)}. Для регистрации объектов в сфере Бизнеса создается ветка {joint-iso-itu-t (2) country (16) ua (804) org (2)}

Примерная иерархия OID OIDAssignment 1.1 OID организации Элементы SNMP Элементы LDAP Типы атрибутов x-my-Attribute (один из атрибутов) Объектные классы x-my-ObjectClass (один из объектных классов) Организация получив один OID может делать от него ответвления по мере необходимости. Независимо от того, какую иерархию Вы избрали, Вам нужно вести реестр выделенных Вами идентификаторов и присвоения их объектам.

Вообще, как я понял, составление иерархии OID - дело довольно замороченное. Проще всего взять какой-либо OID для атрибутов (обычной базой OID является ) и для классов, а затем просто добавить ещё несколько цифр. А вообще, лучше просто посмотреть, как сделано в готовых схемах и не парить мозги (я думаю, что изменить последние пару чисел готового OID не составит труда). После сочинения OIDов перейдём к добавлению новых атрибутов.

Глобальное информационное пространство

Identity Ecosystem Экосистема Идентичности, представляет собой интернет-среду, в которой отдельные лица, организации, службы и устройства могут доверять друг другу, потому что авторитетные источники установили подлинность их цифровых удостоверений.

Trust Service Eco-system Notary Restoration Services Access Control Evidential Analysis Identity tracking Storage -contracts -keys -evidential -documents Monitoring real time Reliable Messaging Underwriter Credential Management Policy

Спасибо за внимание