E-Notary - центр обслуживания публичных PKI-систем

     ЭЦП

Владимир Смирнов

В общем случае под PKI понимается специализированный сервис (набор служб и средств администрирования), предоставляющий необходимые услуги по управлению ключами пользователей и их цифровыми сертификатами в ИС, защищенных с помощью двухключевой криптографии. К услугам такого рода относится, в частности, обеспечение целостности и идентичности открытого ключа, а также списков отозванных ключей (сертификатов) путем их заверения цифровой подписью доверенной стороны. В роли доверенной стороны выступает удостоверяющий центр (УЦ), являющийся центральным элементом PKI.

Приступая к внедрению PKI-технологий для автоматизации и защиты тех или иных бизнес-процессов, все организации, как правило, проходят ряд обязательных этапов:

1) формализация задачи (бизнес-процесса);

2) приобретение готового или разработка собственного специализированного приложения для автоматизации процесса и встраивание в него средств криптографической защиты информации (СКЗИ);

3) приобретение готового или разработка собственного ПО для построения PKI;

4) оценка корректности встраивания СКЗИ в приложение, разработка схемы организации PKI и нормативной документации;

5) открытие и подготовка персонала служб внедрения, эксплуатации и технической поддержки защищенной системы;

6) обучение пользователей.

Очевидно, что пока для решения схожих задач по реализации подсистем информационной безопасности (включая задачи развертывания PKI) не будет выработан общий подход, предприятия будут затрачивать средства на построение собственных функционально идентичных систем.

Выходом из такого положения является создание публичного PKI-сервиса, ориентированного на поддержку наиболее распространенных защищенных приложений, к которому можно было бы просто подключиться и получить необходимый набор услуг (по аналогии с подключением к Интернету, сетям сотовой связи и т. п.). Такое решение позволит существенно сократить денежные и временные затраты организаций за счет исключения этапов 2-4 при построении систем информационной безопасности, а также вывести прикладные системы защиты информации с использованием ЭЦП на межкорпоративный уровень.

К реализации подобного проекта под названием e-Notary приступила компания "Сигнал-КОМ". Цель проекта - создание, развитие и поддержание PKI-системы, обеспечивающей оперативное подключение юридических и физических лиц к публичным сервисам по защите информации, построенным на основе двухключевой криптографии.

Центральной частью проекта является УЦ "Notary-PRO" компании, доступ к которому осуществляется через Web-интерфейс сервисного центра e-Notary (www.e-notary.ru).

Первый этап проекта предусматривает обслуживание удостоверяющим центром двух сервисов: защищенной электронной почты и защищенного юридически значимого электронного документооборота. Обе системы предлагают широкий набор услуг по защите информации, таких, как обеспечение конфиденциальности, аутентификация и контроль целостности информации. Однако если первая из них рассчитана на защиту только почтовых сообщений, передаваемых через Интернет, то вторая решает более широкий круг задач, ориентируясь на создание юридически значимых электронных документов произвольного формата. Особенностью этих систем является многосвязная архитектура, позволяющая реализовать режим защищенной работы "каждого с каждым", не накладывая ограничений на число взаимодействующих сторон и топологию сети конфиденциальной связи. Для управления информационной безопасностью в системах подобной сложности использование PKI-технологий наиболее эффективно и оправданно.

Сервис защищенной электронной почты строится на основе криптопровайдера Signal-COM CSP и обеспечивает конфиденциальность почтовой переписки (путем шифрования) и аутентификацию автора почтового сообщения (путем формирования электронной цифровой подписи - ЭЦП). Signal-COM CSP реализует российские криптографические алгоритмы и может применяться совместно с почтовыми программами Microsoft Outlook, Outlook Express, The Bat! и др., поддерживающими криптографический интерфейс Microsoft CryptoAPI 2.0.

Сервис юридически значимого защищенного электронного документооборота строится на основе программного комплекса File-PRO (разработки "Сигнал-КОМ") и предназначается для внутри- и межкорпоративного использования в различных прикладных системах, заменяющих собой обычный бумажный документооборот.

Сервис на основе File-PRO пригоден, в частности, для построения системы легитимного обмена в электронном виде первичными и сводными бухгалтерскими учетными документами при оказании услуг и товарном обмене между юридическими лицами в РФ.

Несколько слов о сертификатах, выдаваемых для поддержки сервисов. До сих пор при построении PKI-систем вопрос о разграничении по степени доверия на выдаваемые сертификаты в явном виде не ставился, поскольку на практике большинство PKI-систем имеют архитектуру "звезда" с организатором сервиса в центре. Организатор сам проверяет документы, выдает ПО и сертификаты участникам сервиса и самостоятельно решает вопрос о доверии. Для публичных сервисов, построенных по архитектуре "каждый с каждым", в зависимости от решаемых задач и назначения сервиса вопрос о степени доверия может ставиться по-разному и поэтому требует введения разграничения на типы выдаваемых сертификатов.

Исходя из этого УЦ сервисного центра e-Notary выдает сертификаты трех типов - тестовые, низкой и высокой степени доверия. Тестовые сертификаты, как следует из их названия, предназначены для работы в тестовом режиме на этапе ознакомления с сервисами. Два других типа тесно связаны с назначением самих сервисов и с решаемыми при подключении к ним задачами. Если в первую очередь абонентов волнует соблюдение конфиденциальности при передаче информации через Интернет и удобство подключения (дистанционно, без обязательного посещения офиса компании-организатора), то они могут получить соответствующий сертификат анонимно, через сеть. Понятно, что это будет сертификат низкой степени доверия: проверяемые с его помощью ЭЦП не имеют юридической значимости, так как не обеспечивают гарантированной связи секретного ключа с атрибутами владельца, упомянутого в сертификате.

В случае, когда для абонентов требуется юридическая значимость подписанных с помощью ЭЦП документов, им выдаются сертификаты высокой степени доверия на основе предоставляемых документов. Для физических лиц это паспорт, для юридических - паспорт и нотариально заверенная справка, подтверждающая статус данного человека в организации. Подобная справка произвольной формы выдается на основании такого же набора документов, как и при заверении карточки образцов подписей для банка. Заметим, что в обоих случаях сертификаты в соответствии с законом об ЭЦП выдаются на имена физических лиц. Технологически разграничение сертификатов по степени доверия реализуется на основе использования различных сертификатов корневого авторитета УЦ.

Для подтверждения авторства подписанного документа, а также для разрешения других спорных моментов, связанных с применением ЭЦП, в рамках сервисного центра e-Notary предлагаются услуги независимого эксперта и специализированное ПО - Arbiter-PKI.

С автором можно связаться по адресу: v.smirnov@gin.ru.

Предыдущие публикации, посвященные текущему состоянию, проблемам и перспективам развития систем защиты информации, построенных на основе инфраструктуры открытого распределения ключей (PKI - Public Key Infrastructure), см. в PC Week, N 44/2003, с. 28; N 47/2003, с. 28.