Особенности нормативно- правовой базы Украины в области PKI: аспекты технического регулирования Сергей Яковлев ООО «АВТОР»
Особенности нормативно-правовой базы Украины в области PKI 1. Разночтения в технических спецификациях 2. Пробелы нормативной базы 3. Направления дальнейшего развития
Особенности нормативно-правовой базы Украины в области PKI 1. Разночтения в технических спецификациях 2. Пробелы нормативной базы 3. Направления дальнейшего развития
Проблема представления подписи Подпись ДСТУ: OCTET STRING [значение] Подпись в сертификате:signatureValue BIT STRING «Pядок октетів OCTET STRING (інкапсульовано у поле signatureValue)» Представление: signatureBIT STRING OCTET STRING значение
Проблема представления подписи Подпись ДСТУ: OCTET STRING [значение] Подпись в документе:signature OCTET STRING «Поле signature містить безпосередньо цифровий підпис» Представление: Ожидание:Реальность: OCTET STRINGOCTET STRING OCTET STRINGзначение значение
Проблема представления подписи Игнорирование внешней обёртки влечёт несовместимость использования и крайне сложную адаптацию с мировыми системами. Предлагаемое решение: Стремиться к унификации с мировой практикой Временно поддерживать оба формата представления Анализ структуры подписи по длине и формату ASN в подавляющем большинстве случаев даст правильный ответ
Атрибут SignaturePolicyIdentifier Структура идентификатор политики подписывания: SignaturePolicyId ::= SEQUENCE { sigPolicyId SigPolicyId, sigPolicyHash SigPolicyHash OPTIONAL, sigPolicyQualifiers SEQUENCE OF SigPolicyQualifierInfo OPTIONAL}
Атрибут SignaturePolicyIdentifier Структура идентификатор политики подписывания: SignaturePolicyId ::= SEQUENCE { sigPolicyId SigPolicyId, sigPolicyHash SigPolicyHash OPTIONAL, sigPolicyQualifiers SEQUENCE OF SigPolicyQualifierInfo OPTIONAL} Имеем: sigPolicyHashSEQUENCE OF SEQUENCE OF… sigPolicyQualifiersSEQUENCE OF SEQUENCE OF… -- потоковый декодер не в состоянии отличить эти два поля
Атрибут SignaturePolicyIdentifier Предлагаемое решение: Считать поле sigPolicyHash обязательным (как в CAdES) В случае отсутствия значения прописывать в данном поле NULL вместо хэша (как рекомендовано в CAdES) Быть предельно внимательными при реализации
OCSP-ответ: что это такое? Атрибут CompleteRevocationRefs разрешает ссылаться как на списки отозванных сертификатов, так и на OCSP-ответы OcspResponsesID ::= SEQUENCE { ocspIdentifier OcspIdentifier, ocspRepHash OtherHash OPTIONAL }
OCSP-ответ: что это такое? Атрибут CompleteRevocationRefs разрешает ссылаться как на списки отозванных сертификатов, так и на OCSP-ответы OcspResponsesID ::= SEQUENCE { ocspIdentifier OcspIdentifier, ocspRepHash OtherHash OPTIONAL } Вопрос: на что считать хэш?
OCSP-ответ: что это такое? OCSPResponse ::= SEQUENCE { responseStatus OCSPResponseStatus, responseBytes [0] EXPLICIT ResponseBytes OPTIONAL} ResponseBytes ::= SEQUENCE { responseType OBJECT IDENTIFIER, response OCTET STRING} response = BasicOCSPResponse Любой из этих объектов может выступать как OCSP-ответ
OCSP-ответ: что это такое? Нам не удалось найти в мировой практике ответ на данный вопрос в общем виде. Для формата электронной подписи: поскольку атрибут CompleteRevocation содержит список объектов типа BasicOCSPResponce, то, видимо, атрибут CompleteRevocationRefs должен также содержать отсылки к объектам такого типа.
Особенности нормативно-правовой базы Украины в области PKI 1. Разночтения в технических спецификациях 2. Пробелы нормативной базы 3. Направления дальнейшего развития
Необходимые протоколы Отсутствуют стандартизованные протоколы управления сертификатами открытых ключей (выдача, блокировка, возобновление, отзыв, анонсирование смены и т.д.) Возможные решения: гармонизовать CMP, CMC или аналогичное семейство протоколов переключиться на веб-интерфейсы и унифицировать обращения через HTTP или IP.
Необходимые протоколы До сих пор отсутствует порядок проверки ЭЦП, подтверждающий её юридическую легитимность. Данный порядок, среди прочего, должен включать процедуру проверки действительности сертификата (Certificate Path Validation) на произвольный момент в прошлом. Предлагаемое решение: разработать и принять данный порядок
Долговременное хранение документов Проблема долговременного (архивного) хранения электронных документов пока не рассматривалась в нормативном поле. Отсутствует понятие архивного электронного документа (аналогичного типу CAdES-A). Отсутствуют порядки архивирования документа и его проверки в будущем.
Особенности нормативно-правовой базы Украины в области PKI 1. Разночтения в технических спецификациях 2. Пробелы нормативной базы 3. Направления дальнейшего развития
Разработка криптографических стандартов Стандарт асимметричного шифрования Протоколы выработки общего секрета и согласования ключей, согласованные с ДСТУ и прошедшие научную апробацию Алгоритмы подписей специального вида (слепые подписи, мультиподписи и т.д.)
Разработка технических спецификаций Спецификации, описывающие криптографические алгоритмы и их представления Гармонизация протокола CMP и аналогичных ему Гармонизация протоколов типа DVCS, SCVP и др., предоставляющих расширенный спектр услуг в сфере электронного документооборота
Спасибо за внимание!