19.5 Положення, що становлять зміст політики центру сертифікації

Проектування ІВК слід починати зі збору еталонних політик і використання їх як шаблонів для розробки політики даної ІВК.

При формуванні політики необхідно орієнтуватися на стандарти в області ІВК, що дозволяють забезпечити функціональну сумісність різних інфраструктур відкритих ключів.

Набір положень ІВК – це сукупність положень, які охоплюють стандартні теми щодо формулювання політики застосування сертифікатів або регламенту.

На рис. 19.1 надано орієнтовний перелік розділів, що входять до опису політики ІВК.

Рис.19.1 Орієнтовний перелік розділів політики ІВК

Ввідмінності між загальними та спеціальними розділами пояснимо на відповідних прикладах.

Загальний розділ «Обов’язки»регулює зобов’язання субїєктів ІВК: ЦС, ЦР, власників сертифікатів ключів підпису, сторін, що довіряють (інші ЦС, користувачі). Основні питання розділу, як правило, розбиваються на підрозділи.

У підрозділі «Опублікування та каталоги»цього розділу (або окремим розділом) можна оформити зобов’язання ЦС, опубліковувати інформацію про ПЗС та регламент, сертифікати та їх статус, надавати інформацію відносно періодичності публікацій, вчасно надавати вимоги щодо каталогів, контролювати доступ до об’єктів з інформацією, що публікується, тощо.

Зобов’язання ЦС/ЦР:

а) повідомлення інших осіб, крім суб’єкта сертифікату, відомостей щодо випуску сертифікату;

б) повідомлення суб’єкта сертифікату щодо скасування або призупинення його дії;

в) повідомлення інших осіб, крім суб’єкта сертифікату, щодо скасування або призупинення дії сертифікату даного суб’єкта;

г) своєчасне опублікування сертифікатів і інформації щодо їх статусу

Зобов’язання власника сертифікату:

а) точне інформування про мету щодо використання сертифікату, підчас звернення до ЦР із запитом на сертифікат;

б) збереження у секреті секретних ключів;

в) застосування секретних ключів і сертифіката з урахуванням обмежень політики ІВК;

г) негайне повідомлення ЦС про компрометацію секретних ключів.

Зобов’язання сторони, що довіряє даному ЦС:

а) використовувати сертифікати тільки за призначенням;

б) виконувати порядок перевірки цифрового підпису;

в) перевіряти статус сертифікату перед його використанням;

г) підтвердження визнання обсягу відповідальності та гарантій.

Спеціальний розділ «Ідентифікація та автентифікація» встановлює порядок автентифікації суб’єкта, що звертається з метою отримання сертифікату.

Крім того, цей розділ регламентує процедури автентифікації осіб, що звертаються з запитами про скасування або повторний випуск сертифікату.

До розділу «Ідентифікація та автентифікація» входять такі підрозділи:

а) початкова реєстрація;

б) звичайне відновлення ключа;

в) повторний випуск ключа після скасування;

г) запит про скасування ключа.

19.6 Загальна характеристика стандартів у сфері івк

Стандарти серії Х - ITU (Міжнародний союз з телекомунікації) та стандарти ISO щодо ІВК (Міжнародна організація із стандартизації). Стандарти цієї групи містять описи концепцій, моделей і сервіса каталогу (Х.500), формалізують процедуру автентифікації (Х.509, ISO/IEC 9594/8, ISO/IEC 8824, ISO/IEC 8825). Стандарт Х.509 регулює структуру автентифікації - зберігання та використання у каталогах даних, необхідних для автентифікації із застосуванням сертифікатів відкритих ключів.

Стандарти PKIX (від «PKI for X.509 certificates») розроблені робочею групою організації IETF (група інженерної підтримки Інтернет). Документи PKIX визначають політику застосування сертифікатів, формати сертифікатів та списку скасованих сертифікатів, описують протоколи щодо статусу сертифікатів, тощо. Наприклад, RFC 3281 – «Формат сертифіката атрибутів для авторизації». PKCS - Стандарти криптографії з відкритим ключем.

Розроблені компанією RSA сумісно з іншими компаніями. Стандарти PKCS забезапечують підтримку криптографічних засобів для захисту інформаційного обміну і сумісні за даними з Х.509. Наприклад, PKCS #5 – «Шифрування секретним ключем, що створений на основі пароля».

Стандарти, щодо технології автентифікації та застосування криптографіч-них методів у середовищі конкретних систем захисту обміну інформацією. Подібні системи можуть використовувати технологію ІВК з сертифікатами Х.509, або з сертифіікатами своїх форматів.