На пути к федеральной PKI

На пути к федеральной PKI

А.Н.Кулешов
технический специалист

Создание среды доверия

Приложения, в которых используется цифровая подпись, применяются сейчас на корпоративном уровне в основном для банковских транзакций и получения доступа приложений к защищенным ресурсам, однако получить наибольшую практическую выгоду от использования цифровых подписей позволяет развертывание и эксплуатация инфраструктуры открытых ключей (PKI - Public Key Infrastructure).

Первая версия стандарта X.509, описывающая элементы инфраструктуры, появилась в 1988 г. Тогда концепция была довольно проста - сертификат связывал открытый ключ с назначенным именем; для подтверждения имени и управления ключами полагался удостоверяющий центр (УЦ). На сегодняшний день картина несколько усложнилась.

За счет использования функций и сервисов PKI становится возможным создание среды доверия для перевода многих бизнес-процессов в электронную форму с увеличением эффективности и оперативности. Поэтому многие компании внедрили эти технологии, создав корпоративные удостоверяющие центры (УЦ). С принятием в России в феврале 2002 г. закона об ЭЦП добавилась возможность осуществления юридически значимого электронного документооборота. После принятия закона появились и начали развиваться УЦ общегражданского назначения, ориентированные на предоставление услуг в системах общего пользования. На сегодняшний день в России функционируют около 300 корпоративных и публичных удостоверяющих центров, а количество их клиентов неизвестно.

По закону Метклафа

На федеральном уровне тоже активно разрабатывается проблема обеспечения электронного оборота юридически значимых документов в информационных системах органов государственной власти в рамках создания "электронного правительства". К тому же, как показывает мировая практика, на сегодняшний день наиболее широко и успешно PKI применяется именно в государственном секторе. В конце прошлого года по заданию ФАИТ (Федерального агентства по информационным технологиям) была разработана "Концепция создания, функционирования и развития системы удостоверяющих центров органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации". Целью данной концепции является "...формирование современного механизма и условий, обеспечивающих электронный оборот юридически значимых документов в информационных системах органов государственной власти с использованием современных систем электронного документооборота при взаимодействии органов государственной власти между собой, а также с органами местного самоуправления, организациями, гражданами России и иными лицами". Существует эмпирический закон Метклафа, который гласит, что полезность сети возрастает с возрастанием количества ее пользователей. Этот закон применим и в отношении PKI. Ведь очевидны преимущества системы, в которой отношения доверия распространяются не только в локальной среде, но и во всей информационной системе государства, а в перспективе обеспечивают доверие во "всемирном масштабе".

Все эти предпосылки определяют необходимость совмещения корпоративных и ведомственных PKI от различных производителей в интегрированную PKI с единообразным управлением, внутренним взаимодействием, а также необходимость обеспечения их взаимодействия с местным и центральным правительством, бизнесом и общественностью.

Способы объединения систем PKI

Для объединения отдельных PKI-доменов есть несколько подходов:

• кросс-сертификация УЦ "каждый с каждым";
• кросс-сертификация через мостовой УЦ (наиболее крупным таким объединением является мостовой центр АНК).

В июне 2005 г. под эгидой ФАИТ разработан и введен в опытную эксплуатацию Федеральный УЦ, в котором согласно вышеупомянутой Концепции реализованы оба метода соединения с внешними PKI. Правда, данный УЦ ориентирован на создание системы УЦ органов государственной власти и на данном этапе для заключения соглашения о взаимодействии необходимо признать УЦ Росинформтехнологии корневым. Схема с мостовым удостоверяющим центром выглядит предпочтительнее из-за отсутствия необходимости создавать большое количество кросс-сертифицированных пар.

Принципы создания федеральной PKI

Ускоренные темпы развития национальной инфраструктуры открытых ключей, сотрудничество и использование международного опыта в данной области вселяют надежду на то, что в России будет создана интероперабельная система удостоверяющих центров. Создание такой системы возможно только при соблюдении определенных принципов ее создания, которые мы кратко прокомментируем ниже.

Выбор оптимальной архитектуры системы. Из существующих вариантов воплощений требуется выбрать самый эффективный: от используемой топологии построения до средств аутентификации и авторизации пользователей.

Соответствие международным стандартам и рекомендациям. Данный принцип является краеугольным камнем при построении системы, обеспечивающей надежное взаимодействие разнородных кластеров PKI и создает предпосылки для межгосударственного использования ЭЦП в перспективе: это "язык общения" продуктов разных производителей, в России и в мире.

Достаточная правовая и нормативная база. Необходимо решить ряд организационно-правовых вопросов, например, определить механизм регулирования деятельности УЦ и требования к материальным и финансовым возможностям УЦ. Также необходимо выработать системы требований ко всем элементам инфраструктуры (удостоверяющим центрам, клиентским приложениям, сервисам, протоколам взаимодействия), входящим в федеральную систему. И сделать это нужно с учетом предыдущего пункта.

Обеспечение информационной безопасности. Хотя этот вопрос решается и в рамках двух предыдущих, его исключительная важность требует отдельного рассмотрения. Ключевым моментом решения проблемы безопасности УЦ является выработка системы требований, критериев и показателей для оценки уровня их безопасности. Вопросы обеспечения безопасного функционирования УЦ должны быть определены в политиках сертификата и политике безопасности УЦ. В них отражаются обязанности субъектов системы УЦ, протоколы работы, принятые форматы объектов системы, основные организационно-технические мероприятия, необходимые для безопасной работы системы.

Наличие контролирующей организации. Проверка на соответствие вышеперечисленным требованиям и контроль их выполнения будут залогом безопасного и надежного функционирования всей системы.

Подготовка специалистов. Реализация и поддержка постоянной работоспособности такой сложной системы требует наличия высококвалифицированных специалистов, причем не только в области информационных сетей и безопасности, но и профессиональных юристов из-за большого количества нормативно-правовых документов, сопутствующих эксплуатации PKI. Не следует забывать и об обучении простых пользователей, для которых создается среда.

На пути к Федеральной PKI. Интеграция PKI-систем с использованием вышеизложенных принципов является далеко не тривиальной задачей. Но без следования данным принципам процесс построения Федеральной PKI не будет эффективным и не приведет к желаемому результату. Прогресс в данном направлении большей частью зависит от государства, а в частности, от уполномоченного федерального органа в области использования ЭЦП - Федерального агентства по информационным технологиям. В вышеупомянутой "Концепции" указаны направления развития, при поэтапной реализации которых будут созданы условия для появления вначале системы УЦ органов государственной власти, а затем и построения Федеральной инфраструктуры открытых ключей.