От PKI к PMI*

Максим Чирков
Руководитель направления развития сервисов ЭП компании “Аладдин Р.Д."

Если для взаимодействия с государством достаточно только одного квалифицированного сертификата ключа проверки подписи (СКП), выданного на сегодняшний момент одним из уже более 300 аккредитованных Удостоверяющих центров (УЦ), то для прочих систем зачастую выдается дополнительный СКП своим внутренним УЦ. При этом понятно, что субъект остается прежним, но предусмотреть и занести в единый СКП все возможные сценарии, правила и ограничения использования в конкретной инфраструктуре заранее часто просто невозможно.

Выходом из сложившейся ситуации может быть применение атрибутных сертификатов. Атрибутный сертификат (АС – Attribute Certificate) – сертификат, который используется для связывания дополнительной информации о ранее идентифицированном владельце с СКП. АC позволяет управлять доступом на основе определенных принципов, меток, ролей, должностей и является объектом инфраструктуры управления привилегиями (англ. Privilege Management Infrastructure, PMI). Важно понимать, что PMI не является частью PKI и ни в коем случае ее не заменяет, а дополняет, являясь приложением.

Наравне с АС объектом PMI является Атрибутный центр. Атрибутный центр (АЦ) – это по сути издатель АС (аналог УЦ в PKI, который выпускает и аннулирует АС). При этом АЦ не является компонентом УЦ и может располагаться в ведении совсем другого хозяйствующего субъекта. В общем случае УЦ выпускает СКП субъекту, зафиксировав редко меняющиеся параметры (например, для физического лица ФИО, ИНН, СНИЛС), АЦ конкретной системы выдает АС, связывая ссылку на СКП с некоторым набором атрибутов. Таким образом, без отзыва и приостановки СКП появляется возможность динамично менять права и полномочия владельца АС в период действия основного СКП. Перевыпускаются и отзываются только АС. Этот сценарий существенно снижает затраты на организацию и управление доступом в конкретной системе благодаря использованию внешней PKI. Также этот механизм предоставляет большую прозрачность и гибкость при владении собственной PKI при обработке сценариев смены должности и обязанностей сотрудника, предоставления временного доступа и т.д.

Если посмотреть на массовый сегмент, то идеология управления привилегиями успешно вписывается в современный тренд "сделать ЭП доступной любому физическому лицу". Широко распространять СКП среди граждан РФ сперва начал разработчик и первый оператор инфраструктуры проекта "Электронное правительство". Затем к эмиссии присоединились банки и стали выпускать кобрендинговые карты на чипах с российской криптографией "на борту" производства "Аладдин Р.Д.", сертифицированные как по требованиям платежных систем, так и по требованиям ФСБ России к средствам ЭП. В ближайшее время должны стартовать проекты операторов сотовой связи по предоставлению населению специализированных SIM-карт, которые позволяют осуществлять подписание данных на любом телефоне GSM без установки дополнительных приложений. Также физические лица могут получить СКП в любой точке выдачи любого аккредитованного УЦ на привычном защищенном носителе, например, JaCarta.

В заключение хочется упомянуть еще об одной интересной особенности АС. Как ранее было указанно, связка СКП и АС применяется для указания дополнительных характеристик автора, ролевой информации для функций разграничения доступа. Однако в качестве владельца АС могут выступать произвольные данные. В этом случае АС выступает фактически меткой целостности и актуальности данных. Применение может быть широким. Например, в системах корпоративного ЭДО, в АС соответствующего документа можно указать период его действительности, а отзыв АС инициирует операцию преждевременного вывода документа из оборота за потерей актуальности. Таким образом, не обязательно каждый раз выполнять запрос документа, а достаточно проверить АС, т.е. актуален ли находящийся у пользователя документ.

Как видно, PMI и АС в частности представляют собой удобный и гибкий механизм. Многие технологичные платформы и решения типа Enterprise поддерживают работу с ними. Остается дело за интеграцией идеологии управления привилегиями в российские сервисы и соответствующее нормативное регулирование, тем более, что в Республике Беларусь с 1 сентября 2014 г. введен стандарт СТБ 34.101.67 "Информационные технологии и безопасность. Инфраструктура атрибутных сертификатов".