БАЗОВЫЕ ПОЛОЖЕНИЯ
Анонимному участнику взаимодействия доверять невозможно. Перед началом взаимодействия участник должен идентифицироваться и аутентифицироваться – подтвердить идентификацию. Аутентификация – понятие относительное. Что-то одно можно аутентифицировать относительно чего-то другого, нельзя аутентифицировать что бы то ни было само по себе.
В процессе аутентификации участвует не менее двух сторон. Если это стороны А и Б, то:
Чем выше защищенность стороны – тем с большим основанием ей можно доверять. Незащищенной стороне можно только поверить, но проверить идентификацию можно лишь в том случае, если сторона защищена.
Если А – человек, а Б – одна из компьютерных систем информационного общества, то перечисленные выше варианты исчерпывают разновидности аутентификации в информационном обществе.
ЭЦП И АВТОРИЗАЦИЯ ГРАЖДАН В СИСТЕМАХ ЭЛЕКТРОННОГО ПРАВИТЕЛЬСТВА
При анализе применимости тех или иных механизмов идентификации / аутентификации (ИА) для целей электронного правительства (ЭП) важен не столько выбор типа идентификатора, сколько обоснование того, какие именно услуги можно предоставить гражданину, идентифицировавшемуся тем или иным способом.
Действительно, многие граждане уже имеют средства идентификации – ими могут быть любые банковские пластиковые карты, социальные карты, универсальная электронная карта, USB-идентификаторы, TM-идентификаторы, отпечатки пальцев, номер мобильного телефона, логин и пароль e-mailи многое другое.
Пользуясь идентификацией на основе этих средств, граждане получают немало услуг, и эти услуги зачастую весьма значимы. Можно управлять своимсчётом, можно войти к себе домой или к себе на работу, можно открыть свой сейф, чтобы взять или положить свои документы.
По-иному дело обстоит тогда, когда гражданин обращается в государственные органы. Здесь недостаточно идентифицироваться ключом от подъезда. Для того чтобы получить водительское удостоверение, диплом, зарегистрировать собственность – нужен паспорт. Информационные ресурсы в системах ЭП – государственные ИР, и своими для любого гражданина они являются лишь в части персональных данных.
В целом: доступ к чему-то своему – как хочет гражданин. Изменение своих прав и волеизъявление – паспорт. Во втором случае более строгие методы авторизации применяются лишь по той причине, что волеизъявление и изменение прав могут оказать влияние не только на гражданина, выступающего в данный момент субъектом отношений, но и на многих других членов гражданского общества.
Для того чтобы идентифицироваться в платной справочной службе и узнать, во сколько и откуда отходит поезд, достаточно позвонить с частного телефона, номер которого определяется АОНом. А вот внести расписание движения поездов в компьютерную систему можно только в том случае, если оно заверено подписью должностного лица – иначе неприятностей не оберешься.
Эти два случая отличаются не содержанием данных, а направлением их движения – из системы или в систему. Только при установлении наличия и подлинности правоустанавливающих документов можно изменить в системе состав данных о собственности и персональных данных гражданина. Наличие тех или иных прав у одного человека существенно влияет на права других людей.
Именно поэтому волеизъявление (понимаемое как изменение правоотношений), изменение прав и персональных данных фиксируется в информационной системе только при предъявлении документов – то есть сведений, снабженных реквизитами, фиксирующими факты, в этих сведениях содержащиеся. Важнейшим реквизитом является подпись.
Подлинность подписи на бумаге устанавливается визуальными, приборными и криминалистическими методами. Цель – убедиться в достоверности волеизъявления гражданина.
В цифровом мире роль подписи выполняет криптографическое преобразование, которое называется ЭЦП – электронная цифровая подпись. При этом достоверность ЭЦП обеспечивается доверенной средой выполнения процедуры подписи, и поэтому достоверной ЭЦП является только та ЭЦП, которая устанавливается на доверенном компьютере. Недостаточно использовать сертифицированные средства ЭЦП, необходимо также, чтобы компьютер был доверенным. Выполнение этого требования контролируется процедурами проверки правильности встраивания.
Компьютер может быть доверенным лишь в том случае, если осуществляется доверенная загрузка проверенной ОС и обеспечивается изолированность программной среды. Обычно для этого используется аппаратный модуль доверенной загрузки – АМДЗ – сложное и недешевое изделие. Альтернативой является организация доверенного сеанса связи – то есть проверенная ОС и минимальный набор ПО загружается со специального носителя, гарантирующего целостность своего содержимого – средство обеспечения доверенного сеанса – СОДС. Цена такого решения в три раза меньше, чем при использовании АМДЗ.
Другие методы создания доверенной среды исполнения ЭЦП неизвестны.
Для нужд электронного правительства могут применяться различные методы ИА. Человек вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получать данные из системы. По-иному обстоит дело с включением данных в состав системы ЭП. Источник этих данных должен быть зафиксирован, следовательно, они должны быть подписаны, значит, должны поступать из доверенной системы. Из доверенной системы должны поступать:
Таким образом:
Только в доверенной среде могут предоставляться услуги, связанные с:
Только в доверенной среде взаимодействуют с системами ЭП смежные подсистемы и должностные лица.
ИНФРАСТРУКТУРА АУТЕНТИФИКАЦИИ И ТРЕБОВАНИЯ К РЕАЛИЗАЦИИ ВХОДА НА ПОРТАЛ
Должностные лица используют компьютеры, снабженные АМДЗ, или используют СОДС.
Если АМДЗ или СОДС используют граждане, то они имеют полный доступ к услугам.
Во всех остальных случаях граждане регистрируются на защищенных терминалах ЭП (инфоматах, банкоматах, почте и т.д.).
При регистрации указывается выбираемый гражданином механизм идентификации и согласовывается тот перечень услуг, который может быть при этом получен.
Что необходимо сделать для реализации описанного подхода:
ЭЦП И ПРИНЦИПЫ ИСПОЛЬЗОВАНИЯ
ЭЦП вырабатывается с помощью ключа подписи (КП), который принципиально не должен быть никому известен, поскольку именно он обеспечивает свойства ЭлД, связанные с тем, что снабдить документ ЭЦП может только его автор или владелец.
Отсюда следует принцип обеспечения сохранности КП, который в сертификатах формулируется как аксиома («…при сохранении в тайне ключа подписи»).
Процедура ЭЦП всегда используется в некоторой системе более высокого уровня, обеспечивающей целевую функцию обработки ЭлД, включающую снабжение и проверку ЭЦП в ЭлД.
Со стороны подсистемы реализации ЭЦП вся остальная система является внешним окружением и потенциально враждебна с точки зрения сохранности КП. Попадание КП во враждебную среду эквивалентно его компрометации, и чем меньший интервал времени КП находится во враждебной среде, тем ниже вероятность неблагоприятного исхода.
Таким образом, можно сформулировать важный принцип минимального присутствия КП в окружении.
Потенциальная враждебность несертифицированного по параметрам безопасности внешнего окружения сертифицированных СКЗИ требует проверки правильности встраивания СКЗИ в компьютерную систему. Действительно, даже при использовании проверенных и сертифицированных СКЗИ возможна утрата и/или модификация критичной информации еще до СКЗИ. Этот принцип можно назвать принципом правильности встраивания. Контроль за соблюдением данного принципа осуществляет регулятор на основе имеющихся требований.
Принцип минимального присутствия в системе необходимо применять на протяжении всего жизненного цикла КП. Именно поэтому принцип минимального присутствия может быть реализован в полной мере лишь в том случае, когда реализация ЭЦП выделена в отдельное устройство, не имеющее общей памяти с окружением. При этом КП обрабатывается локально, не допуская перемещения информации о КП в другие части системы. Назовем такой подход принципом локальной реализации.
Принцип локальной реализации предопределяет реализацию алгоритма ЭЦП в отдельном устройстве как предпочтительную. Следование принципу локальной реализации существенно уменьшает затраты на реализацию принципа правильности встраивания.
Вовне подсистемы реализации используется (отчуждается) ключ проверки (КПр) ЭЦП, который оформляется в виде, подтверждающем связь КП-КПр (в виде сертификата или иным образом).
Это следующий основополагающий принцип реализации ЭЦП – принцип однозначной связи ключа подписи и ключа проверки. Совместно с принципом обеспечения сохранности КП, принцип однозначной связи КП и КПр обеспечивает целостность связи «человек – ключ подписи – ключ проверки».
Актуальна также проблема противодействия целевой компрометации КП. Суть состоит в необходимости обеспечить условия, при которых воздействие методами социальной инженерии (давление, подкуп, шантаж) не приводило бы к выделению КП из системы, его отчуждению и передаче третьим лицам.
Проблема противодействия целевой компрометации решается изолированностью КП, его неизвлекаемостью из контейнера, в котором КП хранится. Действительно, в том случае, когда КП изолирован в отдельном устройстве, его отчуждение, передача третьим лицам невозможны. Тем самым снимается и нагрузка с владельца ЭЦП, который не может подвергаться внесистемным методам воздействия для компрометации ЭЦП. Таким образом, формулируется принцип изолированности КП.
Может показаться, что принцип изолированности нарушает права владельца КП, однако это не так. Вполне можно использовать КП, не зная его. Каждый может привести примеры множества вещей, которые он использует, не зная (или зная только частично), как они устроены.
Каждая ключевая система предполагает определенные ограничения по условиям применения ключей, при нарушении которых ключи могут быть скомпрометированы и/или само применение СКЗИ может быть поставлено под сомнение. Именно поэтому криптографические ключи должны применяться в соответствии с тем назначением, для которого они были выработаны, даже если технически возможно их гораздо более широкое применение.
Конечно, это не означает, что ключи придется носить в связке, как папуасские бусы. Носитель ключей может быть один, но криптографических ключей на нем может храниться много. Конечно, при условии неизвлекаемости ключей, как было описано выше.
Участие пользователя в нескольких группах целевой деятельности предопределяет принцип многоконтурности реализации криптографических модулей, который связан с тем, что в одном аппаратном устройстве должно храниться несколько КП, должно быть реализовано несколько криптографических алгоритмов и присутствовать несколько технологически разных СКЗИ, например, для аутентификации, канального шифрования, обновления ПО и т.д. В свою очередь, реализация принципа многоконтурности СКЗИ требует расширения принципа связи КП и КПр до принципа связи ключей с условиями их применения.
Еще один аспект применения ЭЦП можно проиллюстрировать следующим вопросом: «Является ли документом сообщение, подписанное подлинной ЭЦП?» Если исходить из того, что подлинность подписи обеспечивает юридическую значимость документа, то ответ будет положительным. Проверяем подпись, удостоверяемся в ее правильности и считаем сообщение документом.
Но будет ли обладать юридической силой закон, скрепленный подписью не Президента, а владельца соседнего ларька? Несмотря на подлинность подписи, ответ отрицательный. Отсюда следует следующий фундаментальный принцип – принцип связи КП с должностными обязанностями владельца ключа. Этот принцип существенно отличается от предыдущих – он носит динамический характер (должностные полномочия изменяются во время жизни ключа), а все предыдущие – статический.
Поэтому принцип связи КП с должностными обязанностями должен контролироваться не только при регистрации ключевой пары, а при всех основных транзакциях. Значит, в системе должен присутствовать Реестр должностных лиц, в котором отражается актуальное состояние должностных лиц, правомочий и полномочий.
Реализация сформулированных выше принципов позволяет создавать предпосылки для реализации доверенного, защищенного, безопасного взаимодействия гражданина и компьютерных систем информационного общества.
Фундаментальным понятием безопасности (защищенности) является доверие. Это связано с человеком как субъектом безопасности. Любая защита, сколь бы надежной она ни была, не создаст ощущения безопасности, если человек ей не доверяет.
И наоборот. Если человек доверяет плохому продукту, у него возникает ощущение безопасности. Но это в данном случае играет отрицательную роль – безосновательная успокоенность при реальной незащищенности обычно приводит к печальным последствиям.
Защищенность обеспечивается доверием к технологии обработки – например, применением ЭЦП или применением специальных каналов доставки. В подлинности купюры, получаемой в Сбербанке, можно не сомневаться, хотя ЭЦП она не содержит. Банкноты в руках рыночного торговца могут требовать проверки.
ДА-ДА-НЕТ-ДА
Доверие тем труднее обеспечить, чем выше уровень недоверия в обществе. Иногда для сделки достаточно только репутации участников, а зачастую недостаточно даже страхового полиса. Дальнейшие рассуждения мы приводим, исходя из существующего (здесь и сейчас) уровня недоверия.
Доверие обеспечивается двумя составляющими – возможностью проверки и продолжительным положительным опытом. Опыта (продолжительного положительного) применения ЭЦП пока нет. Сосредоточимся на возможности проверки. Для этого представим себе, что мы получили сообщение, подписанное ЭЦП некоторого должностного лица. Теперь мы должны ответить на ряд вопросов, вытекающих из обсужденных выше принципов, а именно:
Если ответы на все эти вопросы будут положительными, то только потом можно ответить на основную группу вопросов, а именно:
И, наконец, финальный вопрос, ради чего все и затеяно: «Является ли данное сообщение документом»?
Чтобы ответить на эти вопросы, нужно либо точно знать, как устроена ИС абонента, либо получить нужные сведения из сертификата открытой подписи.
МОЖНО ЛИ ПО ЭЦП ОПРЕДЕЛИТЬ, В КАКИХ УСЛОВИЯХ ОНА ВЫРАБАТЫВАЛАСЬ?
Нет.
Большинство популярных СКЗИ сертифицировано сегодня по двум классам – КС1, если они (СКЗИ) используются на незащищенном компьютере, и КС2, если СКЗИ установлены на компьютере с сертифицированным электронным замком, обеспечивающим доверенность среды применения СКЗИ и контроль целостности СКЗИ как минимум.
Получив сообщение, подписанное ЭЦП с помощью такой СКЗИ, невозможно определить, устанавливалась ЭЦП в доверенной среде или в недоверенной. Тем более нельзя установить, в какой среде хранились ключи, как они вырабатывались, не изменились ли за последнее время должностные обязанности лица, подписавшего сообщение, и т.д., и т.п.
Ответ на выделенный в подзаголовке ответ однозначен: нет.
ПРОБЛЕМА ПРОПРИЕТАРНОСТИ
Создание ИС информационного общества предназначено для оказания услуг гражданам, для снижения нагрузки (временной, эмоциональной, коррупционной) на граждан, связанной с их взаимодействием с государством.
С системами граждане взаимодействуют, явно или неявно используя те или иные протоколы. Протоколы могут быть общеизвестные, открытые, а могут быть проприетарные, фирменные, нераскрываемые.
В первом случае цена доступа регулируется рынком. Во втором – она становится практически налогом (скорее, сбором) с населения в пользу одной компании.
Протоколы должны быть открытыми.
ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ
Применение ЭЦП обеспечивается специальными средствами и технологиями, которые в совокупности называются PKI– PublicKeyInfrastructure, инфраструктура публичных ключей. В российской традиции применяется аббревиатура ИОК – инфраструктура открытых ключей.
Известно два типа ИОК – иерархическая и сетевая. Иерархическая – основана на идеологии «цифровых паспортов». Она поддерживается системой удостоверяющих центров (УЦ).
Сертификат ЭЦП в этом случае представляет собой КПр владельца ЭЦП с дополнительными реквизитами, подписанный подписью УЦ, которая содержит открытый ключ УЦ верхнего уровня, подписанный … и так далее. По цепочке сертификатов, дойдя до «корневого УЦ», можно удостовериться, что ключ корневого УЦ подписан уполномоченным лицом уполномоченного федерального органа (УФО).
Можно ли при этом поверить, что волеизъявление действительно было? Наверное, можно. Если, конечно, к этому моменту не будет принято решение о расформировании УФО, передачи его функций другому федеральному органу, а человек, ранее бывший уполномоченным лицом бывшего УФО, не перешел на другую работу.
Заметим, что цепочка сертификатов может быть очень длинной, а общее решение будет положительным, если положительны все проверки – то есть решения по каждому сертификату цепочки объединяются союзом «и».
Этим объясняются недостатки иерархической системы: порождение значительного непроизводительного трафика, создание абсурдных ведомственных и территориальных УЦ, а также отсутствие нормальной мотивации к доверию ЭЦП. Практически, это идиома недоверия – поверить можно только тогда, когда все без исключения единогласно это подтверждают. А «моя хата – с краю».
В случае сетевой системы используется не идеология «цифровых паспортов», а идеология «отпечатков пальцев» – как идиома поручительства – «я ручаюсь, что этот открытый ключ принадлежит именно тому, чье имя указано в сертификате».
Если среди множества таких «отпечатков» пользователь обнаруживает «отпечаток» знакомого ему человека, у него появляются основания доверять подписи под документом. Объединение по «или» значительно сокращает непроизводительный трафик. Удостоверить принадлежность открытого ключа человеку может другой человек, убежденный в этой принадлежности.
Сетевая система лишена недостатков иерархической. Более того, в качестве ряда «отпечатков» могут использоваться подписи УЦ. Таким образом, сетевая система ИОК шире иерархической и включает ее в себя. Обратное неверно.
В России используется иерархическая система.
Это происходит потому, что PKIв нашей стране получает распространение через государственные институты к общественным, а не наоборот.
В разных коммуникациях должны применяться разные механизмы аутентификации. При обращении, например, к нотариусу, нас будут в первую очередь интересовать официальные подтверждения его полномочий и квалификации, а его – наш паспорт, а при найме няни для ребенка для нас будут иметь значение рекомендации конкретных людей, а не нотариуса.
Человек имеет право сам определять, в какой роли он выступает в каждом конкретном случае. В случае с инфраструктурой открытых ключей должна быть предоставлена возможность выбора уместного и удобного способа взаимодействия.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)