Методические рекомендации
по использованию сервисов электронного нотариата
службы «Доверенная третья сторона»
Содержание
Содержание. 2
1 Термины и определения. 3
2 Введение. 5
3 Основные положения. 9
3.1 Средства криптографической защиты информации. 11
3.2 Протоколы HTTP, HTTPS. 13
3.3 Протокол TLS. 14
3.4 Утилита командной строки. 16
3.5 Протокол OCSP. 17
3.5.1 Информационные потоки. 17
3.5.2 Запросы к сервису. 18
3.6 Протокол TSP. 20
3.6.1 Информационные потоки. 20
3.6.2 Запросы к сервису. 21
3.7 Протокол DVCS. 23
3.7.1 Информационные потоки. 23
3.7.2 Пролонгация квитанций. 24
3.7.3 Использование сервиса DVCS. 25
3.8 Веб-приложения. 27
3.9 Абонентский пункт пользователя сервиса. 28
4 Заключительные положения. 29
Список использованных источников. 30
1 Термины и определения
Средство криптографической защиты информации (СКЗИ) — средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Список отозванных сертификатов — Созданный Удостоверяющим центром список сертификатов, отозванных до окончания срока их действия.
Сертификат открытого ключа — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица Удостоверяющего центра, которые включают в себя открытый ключ (ЭЦП и/или шифрования) и которые выдаются Удостоверяющим центром участнику информационной системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа.
Секретные (закрытые) ключи электронной цифровой подписи (далее – закрытый ключ) — уникальная последовательность символов, известная обладателю электронной цифровой подписи и предназначенная для создания им с использованием средств ЭЦП электронной цифровой подписи в электронных документах.
Открытый ключ электронной цифровой подписи (далее – открытый ключ) — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие.
Компрометация ключа — утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
- утрата ключевых дискет или иных носителей ключа;
- утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
- доступ посторонних лиц к ключевой информации.
Ключевая пара — Открытый и закрытый ключи.
Ключевой носитель — Носитель, содержащий один или несколько ключей.
[a1]
2 Введение
Данный документ стандартизирует, регламентирует и специфицирует механизмы взаимодействия с сервисами «Электронного нотариата» службы «Доверенная третья сторона» в составе инфраструктуры электронного правительства Томской области.
Сервисы заверения электронных сообщений службы «Доверенная третья сторона» (сервисы «Электронного нотариата») далее будут именоваться Службой «Электронного нотариата».
Автоматизированная Система Служба «Заверения электронных сообщений» (далее Служба «Электронного нотариата» или Служба) – сервисы в соответствии с рекомендациями X.842 [1], техническая реализация которых стандартизована международными рекомендациями, по фактам всевозможных проверок, подтверждений и выработки «штампа времени».
Реализуемые функции Службой «Электронного нотариата»:
1. Удостоверение обладания информацией с или без ее представления сервису.
2. Проверка валидности ЭЦП на текущий момент времени.
3. Проверка валидности сертификата открытого ключа.
4. Выработка квитанции, содержащей «штамп» времени.
Результатом выполнения той или иной функции служит квитанция, образованная службой DVCS Службы «Электронного Нотариата», в соответствии с международными рекомендациями RFC 3029 [2].
Служба «Электронного Нотариата» имеет в своем составе сервисы, реализующие функцию определения статуса сертификатов открытого ключа в реальном времени по протоколу OCSP (Online Certificate Status Protocol), в соответствии с международными рекомендациями RFC 2560 [3]. Результатом работы службы OCSP являются сформированные OCSP-ответы (соответствующие OCSP-запросам), содержащие информацию о статусе запрашиваемых к проверке сертификатов открытых ключей.
Служба «Электронного Нотариата» также имеет в своем составе сервисы, реализующие функцию выработки «штампа» времени по протоколу TSP (Time-Stamp Protocol), в соответствии с международными рекомендациями RFC 3161 [4]. Результатом работы службы TSP являются сформированные TSP-ответы (соответствующие TSP-запросам), содержащие заверенный «штамп» времени по эталону информационной системы.
Задачи, в решении которых, может быть использована Служба «Электронного нотариата»:
1. Получение доверенного «штампа времени» для данной системы электронного документооборота на заверенном электронном документе. Весьма важно для предупреждения коллизий при выработке электронной цифровой подписи на электронном документе корректно указывать дату подписания. Служба «Электронного нотариата» в данном случае является «третьей» стороной – доверенном арбитром, который фиксирует факт наличия действительной ЭЦП на конкретный момент времени. Наличие «третьей» независимой стороны может оказаться полезной, чтобы зафиксировать определенный этап (стадию) в технологической цепочке документооборота, например, на конкретный момент времени налоговая декларация заверена и доставлена от налогоплательщика в инспекцию. В более широком смысле Служба «Электронного нотариата» может быть использована абстрактной прикладной системой как источник истинных «штампов времени».
2. Длительное архивное хранение электронных документов. ЭЦП на электронном документе имеет «срок жизни», который, в частности определяется периодом действительности персонального сертификата участвующего в формировании ЭЦП. Обычно это время весьма ограничено, что не позволяет строить полноценную систему документооборота, включая такой важный компонент как архивное хранение. Наличие DVC квитанций по проверке ЭЦП позволяет делать выводы о действительности ЭЦП уже после истечения срока действительности сертификата, который участвовал в выработке ЭЦП. Данное свойство объясняется тем, что сертификат Службы «Электронного нотариата» (служба DVCS), которым заверена квитанция, более продолжителен и существуют механизмы пролонгации квитанций (выпуск квитанции на квитанцию).
3. Организация проверки ЭЦП «третьей» стороной для пользователей позволяет перевести сам факт проверки из плоскости криптографических вычислений на сертифицированных СКЗИ в плоскость организации доверенной доставки квитанций с сервера ДТС, что во многих случаях значительно технологичнее. Степень «доверенности» доставки квитанций не регламентируется «Об электронной цифровой подписи» и целиком определяется спецификой автоматизированной системы, в которой используются заверенные документы. Способов доставки достаточно много: от доставки квитанции курьерской службой, подтверждением по телефону, сравнением самих файлов – квитанций полученных по сети и из репозитория Службы DVCS Службы «Электронного нотариата», до организации аттестованных защищенных сегментов сети.
4. Возложение на Службы «Электронного нотариата» функции проверки действительности какого-либо сертификата открытого ключа существенно упрощает автоматизированную систему, в которой циркулируют заверенные электронные документы. Сама по себе процедура проверки сертификата весьма трудоемка, необходимо построить цепочку проверки конечного сертификата с проверкой всех промежуточных сертификатов издателей, определить точки распространения, получить и обработать списки отозванных сертификатов, возможно включая обновления к ним и т. п.
5. Служба «Электронного нотариата» может быть полезна для автоматизированных систем (АС), в которых используется факт обладания пользователем некой информацией без ее опубликования. Например, АС проведения различных тендеров, регламент которых определяет, что до определенного срока никто не должен иметь доступ к конкурсному материалу (за исключением кратких аннотаций) и только по наступлению времени начала конкурса «конверты» должны быть вскрыты. Для таких систем участники представляют квитанции на истинность ЭЦП конкурсного материала без фактической передачи самого материала до момента наступления конкурса. Истинность представленного впоследствии материала подтверждено ЭЦП из состава DVC квитанции. В этом случае защита конкурсного материала возлагается на самих конкурсантов – самых заинтересованных в защите данных лиц и полностью снимает риск мошенничества в системе.
3 Основные положения
В настоящее время служба «Доверенная третья сторона» реализована с использованием следующих автоматизированных систем (подсистем):
1. Веб-сервер поддерживающий транспортировку запросов на сервис и квитанций, возвращаемых пользователю.
2. Средства криптографической защиты информации.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
