Для чего нужен атрибутный сертификат
Атрибутные сертификаты
Обычно предполагается, что связывание открытого ключа и субъекта при помощи сертификата должно быть долговременным. Большинство сертификатов открытых ключей подписи конечных субъектов имеют срок действия один или два года. Сертификаты могут использоваться для аутентификации пользователей, и информация, идентифицирующая субъекта, может учитываться при принятии решения об управлении доступом. Однако во многих случаях сведения о субъекте, содержащиеся в сертификате открытого ключа, не являются критерием принятия решения о его правах доступа, которые зависят от роли субъекта, категории допуска, принадлежности к некоторой группе или платежеспособности.
Информация для авторизации часто имеет меньший срок действия, чем сертификат открытого ключа. Она могла бы указываться в дополнениях сертификата открытого ключа, но это не является выходом по двум причинам. Во-первых, подобный сертификат должен аннулироваться при любых изменениях информации для авторизации. Во-вторых, УЦ, выпускающий данный сертификат, не имеет полномочия подписывать эту информацию, а должен связываться с источником информации о правах доступа конкретного пользователя.
Атрибутные сертификаты могут применяться в сервисах аутентификации источника данных и неотказуемости. В этом случае в сертификаты включают дополнительную информацию о субъекте, который ставит цифровую подпись. Эта информация позволяет удостовериться, что субъект имеет право подписывать данные. Род проверки зависит от содержания данных, которыми обмениваются стороны или которые должны быть заверены цифровой подписью.
Атрибутный сертификат X.509 напоминает сертификат открытого ключа этого же формата, но имеет другие функциональные возможности. Он представляет собой структурированную двоичную запись формата ASN.1 и подписывается издателем сертификата. Атрибутный сертификат содержит девять полей: версия, владелец, издатель, идентификатор алгоритма подписи, серийный номер, период действия, атрибуты, уникальный идентификатор издателя и дополнения (см. ниже). Владелец атрибутного сертификата характеризуется подобно субъекту сертификата открытого ключа подписи, но может быть задан по имени, издателю и серийному номеру сертификата открытого ключа, либо при помощи хэш-кода сертификата или открытого ключа.
|Идентификатор алгоритма подписи |
|Период действия (не ранее/не позднее) |
|Уникальный идентификатор издателя |
Структура атрибутного сертификата
Атрибуты описывают информацию о полномочиях владельца атрибутного сертификата. Как и сертификат открытого ключа подписи, атрибутный сертификат может содержать дополнения. Наряду с имеющимися в системе сервисами аутентификации, атрибутные сертификаты обеспечивают защищенную передачу информации о полномочиях их владельцев [2]. Эту технологию могут применять, например, приложения удаленного доступа к сетевым ресурсам (таким, как web-серверы и базы данных), а также приложения, которые управляют физическим доступом в помещения и к аппаратному обеспечению.
Читайте также
10.2.2. Сертификаты
10.2.2. Сертификаты В Linux используются традиционные механизмы обеспечения безопасности Unix для пользователей и групп. Идентификаторы пользователя (uid) и группы (gid) — это целые числа[16], которые отображаются на символические имена пользователей и групп в файлах /etc/passwd и /etc/group,
Глава 15 Сертификаты и удостоверения
Глава 15 Сертификаты и удостоверения Понятия сертификата открытого ключа и инфраструктуры открытого ключа являются центральными для шифрования в современном Интернете. Прежде чем их рассматривать, однако, будет нелишне напомнить, что представляет собой цифровая
Сертификаты Brainbench
Сертификаты Brainbench При поиске работы в Интернете важно убедить нанимателя в своем профессионализме. Если вы можете предъявить работодателю сертификат авторитетной компании с подтверждением ваших знаний, то это серьезно. Компания Brainbench предлагает бесплатную
Сертификаты Brainbench
Сертификаты Brainbench При поиске работы через Интернет важным является доказать работодателю, что вы чего-то стоите. Если у вас есть возможность предъявить работодателю сертификат авторитетной компании, подтверждающий ваши знания, то это уже серьезно. Бесплатная
Цифровые сертификаты
Цифровые сертификаты Одна из главных проблем асимметричных криптосистем состоит в том, что пользователи должны постоянно следить, зашифровывают ли они сообщения истинными ключами своих корреспондентов. В среде свободного обмена открытыми ключами через общественные
Сертификаты SPKI
Сертификаты SPKI Задачей простой инфраструктуры открытых ключей SPKI (Simple Public Key Infrastructure) является распространение сертификатов для авторизации, а не для аутентификации владельцев открытых ключей. Теоретические основы и требования к SPKI разработаны рабочей группой
Сертификаты PGP
Сертификаты PGP Система PGP (Pretty Good Privacy) [40] разработана американским программистом Филиппом Циммерманном для защиты секретности файлов и сообщений электронной почты в глобальных вычислительных и коммуникационных средах. Ф. Циммерманн предложил первую версию PGP в начале
Сертификаты SET
Сертификаты SET Протокол SET, который базируется на техническом стандарте, разработанном компаниями VISA и Master Card, обеспечивает безопасность электронных расчетов по пластиковым картам через Интернет: гарантирует конфиденциальность и целостность информации о платежах,
Сертификаты пользователей
Сертификаты пользователей Для поддержки онлайновых приложений и защищенной электронной почты в профиль сертификата пользователя включается информация об именах. В содержании сертификата пользователя рекомендуется:1 использовать в качестве имени субъекта
Сертификаты систем
Сертификаты систем К сертификатам систем можно отнести, например, VPN-сертификаты, сертификаты устройств (в том числе и беспроводной связи) и SSL-сертификаты [105].VPN-сертификаты (IPsec). Эти сертификаты генерируются на основе информации об устройстве (например, IP-адреса) и
Сертификаты удостоверяющих центров
Сертификаты удостоверяющих центров Эти сертификаты выпускаются для субъектов, являющихся удостоверяющими центрами, и образуют узлы пути сертификации [123]. Открытые ключи в этих сертификатах используются для верификации цифровых подписей на сертификатах других
Самоподписанные сертификаты
Самоподписанные сертификаты Самоподписанные (самоизданные) сертификаты образуют специальный тип сертификатов УЦ, в которых издатель сертификата является одновременно субъектом сертификата. Эти сертификаты используются в PKI для установления пунктов доверия,
Сертификаты обновления ключа
Сертификаты обновления ключа Чтобы ввести в действие новый сертификат или ключ подписи САС, УЦ выпускает пару сертификатов обновления ключа. Первый сертификат содержит старый открытый ключ и подписывается новым секретным ключом. Второй сертификат содержит новый
Сертификаты обновления политики
Сертификаты обновления политики УЦ выпускает сертификаты обновления политики, чтобы изменить домен политики. Предположим, что УЦ выпускает сертификаты в соответствии с политиками I и II. В связи с изменениями внутри организации планируется выпускать новые сертификаты в
Системы, использующие сертификаты, и PKI
Системы, использующие сертификаты, и PKI Результатом усилий технических специалистов по повышению безопасности Интернета стала разработка группы протоколов безопасности, таких как S/MIME, TLS и IPsec. Все эти протоколы используют криптографию с открытыми ключами для
Системы, использующие сертификаты, и PMI
Системы, использующие сертификаты, и PMI Многие системы используют сертификаты открытых ключей для принятия решений по управлению доступом, основанному на идентификации. Такие решения принимаются только после того, как пользователь докажет, что имеет доступ к секретному
Как создать «отзываемую» электронную подпись? Атрибутные сертификаты
Многие бизнес-процессы предполагают обмен данными, которые, с одной стороны, требуется защитить от изменения, а с другой – каким-то образом сообщить принимающей стороне о том, что данные потеряли свою актуальность и не должны более использоваться. Примечание редакции iEcp.ru: материал рассчитан на профессионалов рынка электронной подписи.
Примеров таких процессов очень много: назначение полномочий должностным лицам, разрешения, выданные на определенный период времени, спецификации товара при грузоперевозках, разграничение доступа к информационным ресурсам и т. д.
Самый простой способ защиты от изменений – выработать электронную подпись (ЭП), но как сделать такую подпись отзываемой? Если отозвать сертификат автора подписи, это приведет к недействительности вообще всех ЭП, созданных на закрытом ключе отозванного сертификата, что, в свою очередь, послужит толчком к огромным организационно-техническим проблемам разрешения этой ситуации и в дополнение, что очевидно, понадобится снова обращаться в УЦ и создавать новый сертификат.
К тому же в последнее время возобновился интерес к проблемам указания и делегирования полномочий при удаленном взаимодействии. Одна из причин – проект очередных поправок в 63-ФЗ «Об электронной подписи» с новым разделом 17.1, определяющим новую сущность «правовой акт» и очевидно, что такой акт должен быть отзываемым.
Одной из технических реализаций создания отзываемых документов может выступать атрибутный сертификат (АС).
Правой аспект
Атрибутный сертификат – электронный документ (ЭД), формат которого определен стандартом. Он создан организацией и содержит сведения о юридических фактах с возможностью установления автоматически проверяемой и юридически значимой связи. Создание АС инициируется уполномоченным должностным лицом предприятия: директором, начальником отдела кадров, руководителем делопроизводства и т. п.
АС содержит набор атрибутов, характеризующих: данную организацию, ее должностных лиц, их членство в некоторой группе, роли, признаки безопасности, авторизационную информацию, ЭД организации и их метаданные и другое.
Технический аспект
АС – это двоичный блок данных в кодировке ASN.1 (такой же, как и СКП), компиляторы для которой есть на рынке, в том числе и с лицензиями Open Source. В большинстве случаев структура ASN.1 может легко трансформироваться в XML с массой инструментария по обработке. Связь АС с владельцем осуществляется через специальный атрибут holder.
Структура АС подобна сертификату Х.509. Основное отличие – АС не содержит открытого ключа и не предполагает создание ключевой пары.
Действительность АС ограничена действительностью электронной подписи (ЭП) издателя АС, то есть может иметь значительно более продолжительное время, чем СКП. АС содержит механизмы указания периода действительности, а также досрочного аннулирования, приостановления и восстановления действительности.
АС применяется параллельно с PKI и не требует переделки средств подписи, УЦ и других существующих компонент PKI-инфраструктуры. С 2002 года АС существует как международный стандарт. Сейчас актуальным является RFC 5755 (2010 г.).
Области использования АС
Исходя из особенностей правовых и технических аспектов, можно выделить области, где применение АС наиболее целесообразно.
Для описания правовых статусов (полномочий) должностных лиц организации.
Для управления разграничением доступа к сетевым ресурсам или процедурой обработки защищенных ЭП ЭД с учетом полномочий и иных характеристик автора ЭД или субъекта доступа.
АС – метка целостности и актуальности, является отзываемым аналогом отсоединенной подписи. Используя механизмы управления временем действительности АС, можно технически обеспечить актуальность содержания документа. Такие метки применимы в бизнес-процессах, где ЭД имеют функции разрешения или лицензии на что-либо, выдаваемые на определенный срок и с возможностью отзыва, а также электронные выписки из различных реестров.
АС – защищенный контейнер с сырыми данными, не имеющими визуальное представление. Идеально подходит при обмене структурированной информацией между ИС и максимально пригоден к последующей машинной обработке.
АС наиболее эффективны в публичном, межведомственном и трансграничном обмене, когда стороны не объединены единой системой ЭДО и для юридической значимости контрагентам недостаточно получения ЭД и проверки ЭП автора.
Возможные способы указания полномочий
1. Использовать произвольный ЭД защищенной ЭП. Способ автоматизировать оперативное управление актуальностью контента такого ЭД не определен.
2. Контейнером полномочий выступает СКП. До недавнего времени именно такой подход использовался в ИС, что фактически приводило к необходимости повторных идентификаций субъекта и изготовления отдельных СКП различного назначения.
3. Контейнер полномочий – АС (см.табл.1). Данный способ лишен приведенных выше недостатков.
Электронная подпись и АС
Проведем аналогию с «бумагой», в общем виде на «бумаге» имеется: собственноручная подпись физического лица, реквизиты юридического лица и указания действия с/без доверенности. Самое логичное – последние две позиции оформить в виде АС.
В зависимости от реального бизнес-процесса АС может размещаться внутри ЭП как подписанный или как не подписанный атрибут. Тем не менее более логичным и технологичным видится размещение АС в качестве неподписанного атрибута, что предоставляет большее поле для маневра в архитектуре прикладного уровня и не накладывает дополнительных требований на ПО клиента, предполагая, что PMI (инфраструктура управления полномочиями) и PKI (инфраструктура открытых ключей) функционируют параллельно, и каждая из них решает только свои задачи. Наличие АС в ЭП не мешает существующим средствам подписи выполнять свои функции, неизвестные атрибуты просто пропускаются. Если разместить АС в виде подписанного атрибута, это приведет к значительному усложнению логики работы ПО на стороне клиента при неочевидных достоинствах (зачем подписывать то, что и так подписано).
И еще, очень важно определить актуальность ЭД (действительность АС), что совсем не то же самое, что каждый раз, например, запрашивать при необходимости из ЕГРЮЛ выписку (получая в ответ одно и то же) с правами физического лица; нет обращений к шине, нет доступа к самой базе ФНС. Данная операция много безопасней и менее ресурсоемка, и если требуется, можно даже задокументировать факт существования полномочий в текущий момент времени средствами специализированных сервисов онлайн-статусов АС.
Классификация АС по способам доставки
Стандарт предполагает два способа получения АС принимающей стороной.
1. Режим PUSH. АС доставляется вместе с сообщением (АС может содержаться в ЭП) или в рамках сессии.
2. Режим PULL. Принимающая сторона самостоятельно получает АС из Реестра издателя АС в рамках обработки ЭД с ЭП или процедуры разграничении доступа к элементам информационного дерева ресурса.
Препятствия для применения АС в РФ
В настоящий момент декларируется, что единый СКП «может применяться в любых правоотношениях», но вопрос фиксации и проверки полномочий повис в воздухе.
Унаследованные ИС, особенно у регуляторов, где полномочия указываются в СКП или во внешних системах управления учетными данными.
Миф о том, что использование АС приведет к переделке средств подписи и УЦ, их пересертификации и т. д., что все, якобы, сложно, долго и дорого.
Игнорирование мирового опыта, например:
Примеры информационных систем в РФ, использующих АС
2010 год, ООО «Топ Кросс». Цель проекта – технология управления полномочиями на сервере обновлений ПО. АС имеет срок действия, равный договору сопровождения ПО, и состав с перечнем ПО, взятого на сопровождение.
2010 год, ООО «Таможенно-Брокерский Центр». Корпоративная система ЭДО. АС – структурированная информация по предварительному декларированию таможенных грузов с обеспечением актуальности. Контейнер данных (АС) максимально приспособлен к защищенной транспортировке и машинной обработке. При потере актуальности данных по любым причинам (замена товара, замена транспорта и т. д.) АС может быть отозван, на принимающей стороне не окажется множества ЭД, в том числе и неактуальных, но все с действительными ЭП отправителя, что однозначно привело бы к коллизиям.
2013 год, ООО «РТО» и Ассоциация Электронных Торговых Площадок. Цель – использовать указания полномочий при трансграничном ЭДО на электронных торговых площадках для зарегистрированных субъектов внешнеэкономической деятельности.
2017 год, Группа компаний «ФИННЕТ-СЕРВИС». Цель проекта – создание модуля к «1С-Кадры» для инфраструктуры управления полномочиями в распределенном ЭДО.
2016–2018 гг., Пенсионный Фонд Российской Федерации. Цель проекта – обеспечение юридической значимости при длительном хранении ЭД. В АС упакованы процессные метаданные, необходимые для обеспечения аутентичности ЭД.
2017–2018 гг., Группа компаний «Центр открытых систем и высоких технологий». Цель проекта – повышение эффективности работы сотрудников Роспечати за счет создания PMI, использующей АС.
Автор: Сергей Муругов, генеральный директор ООО «Топ Кросс»
Сертификаты для физических лиц: какие бывают, где и как получить?
Специалист по электронному документообороту
Процесс электронной идентификации значительно упрощает обмен электронными документами, ведение бизнеса и обращение за административными услугами. Чтобы начать пользоваться всеми возможностями сервиса, достаточно получить основные виды сертификатов и электронную цифровую подпись.
Что такое сертификат открытого ключа физического лица?
Открытый ключ генерируется на основе личного ключа физического лица с применением сертифицированной ЭЦП. В процессе оформления сертификата открытого ключа поставщик услуги проходит проверку принадлежности личного ключа. После этого на сертификате открытого ключа ставится электронная цифровая подпись поставщика услуги, который выдал данный сертификат.
Информация, содержащаяся в сертификате открытого ключа, должна включать:
Базовый атрибутный сертификат: что это, и для чего он нужен?
Физические лица получают базовые атрибутные сертификаты на срок от 1 до 3 лет. Получателями документа могут быть физические лица, которые не зарегистрированы как частные предприниматели, но при этом уплачивают обязательные страховые взносы.
Оформить базовый атрибутный сертификат можно только при наличии действующего сертификата открытого ключа физлица. Кроме того, для его оформления понадобится пакет из следующих документов:
Электронный документооборот: штамп времени, атрибутный сертификат и другие новшества
С 18.02.2019 вступают в силу изменения в Закон об электронном документе и электронной цифровой подписи. Они направлены на расширение практики применения электронного документооборота в нашей стране.
Электронный документ
На заметку
Напомним, что электронный документ — это один из видов документов в электронном виде. Он состоит из двух неотъемлемых частей :
1) общей — это непосредственно сам документ со всеми его реквизитами, за исключением даты документа, регистрационного индекса, резолюции, отметки о поступлении и других реквизитов, которые формируются после подписания документа ЭЦП;
2) особенной — это ЭЦП лиц, осуществивших согласование (визирование), подписание, утверждение электронного документа, а также реквизиты, формируемые после подписания (дата документа, регистрационный индекс и др.).
Новшеством в отношении особенной части электронного документа является то, что теперь она может содержать :
штамп времени — реквизит электронного документа, удостоверяющий дату и время создания электронного документа ;
дополнительные данные, необходимые для проверки ЭЦП и идентификации электронного документа, которые устанавливаются техническими нормативными правовыми актами.
Ранее это не было установлено.
Атрибутный сертификат
Введено понятие «атрибутный сертификат», а также установлен порядок его использования.
Обратите внимание!
Атрибутный сертификат должен содержать информацию :
— о (об) физлице, которому предоставлены полномочия;
— организации или физлице, от имени которых физлицу предоставлены полномочия;
— полномочиях, предоставленных физлицу от имени организации или другого физлица.
На заметку
Поставщиком услуг является организация, осуществляющая одну или несколько из следующих функций :
— издание, распространение и хранение сертификатов открытых ключей, атрибутных сертификатов, списков отозванных сертификатов открытых ключей и списков отозванных атрибутных сертификатов;
— достоверное подтверждение принадлежности открытого ключа определенным организации или физлицу;
— предоставление информации о действительности сертификатов открытых ключей, атрибутных сертификатов;
— отзыв сертификатов открытых ключей, атрибутных сертификатов;
— проставление штампа времени;
— выработка личных ключей для организаций или физлиц;
— организацией или физлицом, от имени которых другому физлицу предоставляются полномочия, информация о которых содержится в этом атрибутном сертификате.
На заметку
Владелец атрибутного сертификата вправе отозвать атрибутный сертификат.
Если отзывается открытый ключ, то это автоматически влечет отзыв атрибутного сертификата .
Юридическая сила электронного документа
Конкретизировано, в каких случаях электронный документ имеет юридическую силу.
На заметку
Напомним, что электронный документ приравнивается к документу на бумажном носителе, подписанному собственноручно, и имеет одинаковую с ним юридическую силу .
Электронный документ будет иметь юридическую силу в том числе в случае, если он был подписан :
— в период действия сертификата открытого ключа независимо от того, был ли впоследствии отозван открытый ключ, указанный в сертификате;
— ЭЦП физлица в соответствии с полномочиями, указанными в атрибутном сертификате;
— от имени организации ЭЦП физлица и дополнительно ЭЦП организации. В этом случае атрибутный сертификат предоставлять не требуется.
Копия электронного документа
— организация или ИП, создавшие данный электронный документ;
— организация, получившая электронный документ от другой организации посредством межведомственных информационных систем;
— другие организации или физлица в случаях, предусмотренных законодательными актами Республики Беларусь.
На заметку
В настоящее время удостоверить копию электронного документа может :
— нотариус или другое должностное лицо, имеющее право совершать нотариальные действия;
— регистратор организации по госрегистрации недвижимости;
— организация или ИП, имеющие право на удостоверение копии электронного документа на основании специального разрешения (лицензии), если его получение предусмотрено законодательством Республики Беларусь о лицензировании.
Электронная копия документа на бумажном носителе
Пример
Наниматель издал приказ на бумажном носителе, ознакомил с ним работников. Потом его отсканировал и подписал ЭЦП. Данный документ будет являться электронной копией документа на бумажном носителе.
ЭЦП организации
Владельцем открытого личного ключа ЭЦП по-прежнему могут быть организации. Определено, что они вправе применять ЭЦП :
— в качестве аналога оттиска печати организации;
— совместно с ЭЦП, владельцем личного ключа которой является физлицо, если сведений о его полномочиях атрибутный сертификат организации не содержит;
— для создания и (или) подписания электронных документов посредством автоматизированных информационных систем без участия физлица;
— в иных случаях, предусмотренных законодательством Республики Беларусь.
Ранее данного перечня не было.
Достоверность электронных документов, созданных зарубежными партнерами
На заметку
Доверительная третья сторона будет определяться Президентом Республики Беларусь .
Иные изменения
Помимо перечисленных предусмотрены следующие новшества:
1) отменена карточка открытого ключа проверки ЭЦП на бумажном носителе ;
2) установлена возможность одной ЭЦП подписывать несколько связанных между собой электронных документов (пакет электронных документов) ;