Політика і регламент центрів сертифікації

Date: 2015-10-07; view: 385.

Відповідно до cтандарту RFC 2527 основними документами ЦС, що описують політику ІВК, є документ про політику застосування сертифікатів (ПЗС) та регламент.

ПЗС можна порівняти з відповіддю на запитання «що?», а регламент - з відповіддю на запитання «як?». Ці документи дозволяють узгоджувати політику безпеки різних організацій.

За визначенням міжнародного стандарту Х.509, політика застосування сертифікатів - це встановлений набір правил, що характеризують можливість застосування сертифікату визначеним співтовариством користувачів або/та деяким класом прикладних програм з визначеними вимогами безпеки.

Політика застосування сертифікатів дозволяє користувачу оцінити надійність використовування сертифікатів для конкретного прикладного об'єкту. Регламент, що опублікований відповідним центром сертифікації, містить більш детальний опис щодо практики ЦС, відносно випуску та керування сертифікатами.

Фактом випуску сертифіката ЦС підтверджує користувачу сертифіката (тобто стороні, яка довіряє ЦС), що відкритий ключ, розміщений у сертифікаті, належить суб'єкту, ім'я якого записано у цьому ж сертифікаті.

При прийнятті рішень щодо довіри до даних, які містяться у сертифікаті, користувач може орієнтуватися на покажчик ПЗС. Таким покажчиком, що характеризує політику застосування сертифікатів, є унікальній зареєстрований ідентифікатор об'єкту – Object Identifier (OID).

Сторона, що реєструє Object Identifier, опубліковує текстову специфікацію політики застосування сертифікатів для ознайомлення з нею користувачами. Реєстрація виконується за процедурами, визначеними ISO та IEC/ITU.

В одному сертифікаті може бути вказано декілька політик, але краще визначати одну політику для даної категорії користувачів.

Модель довіри стандарту Х.509 передбачає перевірку OID під час обробки сертифікатів при просуванні шляхом довіри.

Прикладом двох політик може бути політика загального призначення, що потребує автентифікації та дозволу доступу до принтерів, баз даних клієнтів, журналів передачі змін і комерційна політика, де ризики вище і для деяких службовців передбачається, на приклад, використання криптографічних ключів.

Регламент центра сертифікаціі (Certification Practice Statement), частіше за все, приймає форму досконалого викладення системи і практики, яких притримується ЦС в роботі з сертифікатами. У регламенті можуть фіксуватися положення угоди між центром сертифікації і користувачами.

У регламенті чітко формулюються обв'язки ЦС перед стороною, що йому довіряє. Користувач, якій покладається на сертифікат при перевірянні цифрового підпису, має знати, або отримувати інформацію, щодо призначення та змісту сертифікату.

Для цього від сертифікату може вимагатися наявність посилання на регламент ЦС, що випустив цей сертифікат.

Регламент має відбивати відповідність практики ЦС загальновизнаним стандартам. Це потрібно для оцінки застосованості та сумісності даних сертифікатів із іншими системами, основаними на сертифікатах відкритих ключів.

Регламент – це детальне викладення всього того, що потенційно необхідно для розуміння і прийняття до уваги користувачами. Регламент має бути зрозумілим і чітким документом, що описує сервіси ЦС і процедури управління життєвим циклом сертифікатів

Регламент потрібен для адекватної оцінки надійності центра сертифікації. Щодо політики застосування сертифікатів, то вона є основою для функціональної сумісності різних ЦС.

Необхідно підкреслити, що регламент і політика застосування сертифікатів є відкритою інформацією, а опис організаційних заходів необхідно прихову-вати у секреті.