Существуют определенные специфические требования и меры безопасности для реализации, чтобы гарантировать, что окружающая среда надежна и используется под единственным контролем подписавшего.
С.2 Архитектура
С.2.1 Общие положения
В этом контексте (по крайней мере) могут быть предложены три типа решений для аутентификации удаленного участника:
• SE (широко распространенный токен для SSCD, как определено в Директиве),
• Надежная среда выполнения (TEE)
• двухфакторная схема аутентификации, такая как SMS OTP
В этом документе основное внимание будет уделено первому решению; два других не входят в сферу охвата (см. Eurosmart WP для анализа различных решений).
C.2.2 Статический вид
local environment - местная среда
client part - клиентская часть
signatory device – подписывающее устройство
mobile or fix - мобильный или фиксированный
server part -
authentication system - серверная часть
signatory system - система подписания
Рисунок C.1 - Просмотр компонентов
Благодаря подключенному устройству подписавший инициирует запрос подписи к SCA (Application Creation Application - может быть разделен между сервером SCA и SE, как показано на рисунке). SCA выполняет операции по подготовке запроса подписи для обработки сервером удаленной подписи с использованием сигнатурного устройства для взаимодействия с ним.
SCA предоставляет DTBS (данные, которые должны быть подписаны) удаленному серверу подписи, который должен быть подтвержден операцией подписи перед подписанием. Таким образом, DTBS (соответственно DTBS/R) отображается на сигнальном устройстве.
Согласие подписаться на авторизацию удаленной подписи DTBS/R получается путем подписания и только после подписания аутентификации, выполняемой SE.
Взаимная аутентификация выполняется между сервером удаленной подписи и SE, а затем аутентификация подписи выполняется SE. Затем SE взаимодействует с сервером удаленного подписания от имени подписавшего.
Протокол активации подписи между SE и сервером удаленного подписания обеспечивает надежную аутентификацию SE.
C.2.3 Динамический просмотр
На следующих рисунках показано взаимодействие при обработке удаленной подписи.
112
Рисунок C.2 - (Удаленный) процесс подписи
s d signing prosess - s d процесс подписания
Signer (Alice's PC) – подписавшийся (Alice's PC)
Create/ Receive document - Создать/Получить документ
validate document – подтвердить документ
Hash document n-1 rounds - Хэш-код n-1 раундов
Last Hash data - Данные последнего хэша
Retum last hash value - Текущее значение хэш-функции последнего времени
Remote Sign - Удаленный знак
Verify PIN - Проверить PIN-код
Secure channel request - Запрос безопасного канала
Secure channel established - Установлен безопасный канал
Send final Hash to server - Отправить окончательный хэш на сервер
Return signature - Возвратная подпись
Библиография
[1] ДИРЕКТИВА Е. У. 1999/93 / EC Европейского парламента и Совета от 01.01.01 года о структуре Сообщества для электронных подписей,
http://portal. etsi. org/esi/Documents/e-sign-directive. pdf
[2] РЕГУЛИРОВАНИЕ E. U. 910/2014 Европейского парламента и Совета от 01.01.01 года об электронных идентификационных и доверительных услугах для электронных транзакций на внутреннем рынке и отменяющей Директиву 1999/93 / EC, http://eur-lex. europa. eu/legal-content/EN/TXT/?uri=uriserv:OJ. L_.2014.257.01.0073.01.ENG
[3] CEN / TC 224, EN 419 211: 2014, «Защитные профили для устройства создания защищенной подписи», все шесть опубликованных частей
[4] «EmpfohleneAlgorithmen und Parameter fьrelektronischeSignaturen», RTR-GmbH, ASIT, Вена, 01.06.2007 См. http://www. signatur. rtr. at/de/repository/rtr-algorithms-20070601.html
[5] ФЕДЕРАЛЬНОЕ СЕТЕВОЕ АГЕНТСТВО ПО ЭЛЕКТРОЭНЕРГИИ. «Газ, телекоммуникации, почта и железная дорога», «Уведомление в соответствии с Законом о электронных подписях и Положением о электронных подписях» (обзор подходящих алгоритмов)», 13 января 2014 года, http://www. bundesnetzagentur. de/SharedDocs/Downloads/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/2014Algorithmenkatalog. pdf?__blob=publicationFile&v=1
[6] НЕМЕЦКИЙ ВЕРСИЯ. BSI Algorithmenkatalog, "Алгоритмы Geeignete zur Erfьllung der Anforderungen nach § 17 Abs. 1 bis 3 SigG vom 16. Mai 2001 в Verbindung mit Anlage 1 Abschnitt I Nr. 2 SigV ".
https://www. bsi. bund. de/SharedDocs/Downloads/DE/BSI/ElekSignatur/Algorithmenkatalog_Entwurf_2015.pdf?__blob=publicationFile
[7] Ансси. «Публикация методов оценки в области идентификации (eIDAS)», http://www. ssi. gouv. fr/agence/publication/publication-des-specifications-techniques-en-matiere-didentification-electronique-eidas/
[8] PKCS # 1 v2.2: выпуск: 2002 RSA Cryptography Standard, RSA Laboratories, Octover 27, 2012, http://www. /collateral/white-papers/h11300-pkcs-1v2-2-rsa-cryptography-standard-wp. pdf
[9] Спецификация интегральной микросхемы EMV для платежных систем. Книга 3, «Спецификация применения версии 4.2», июнь 2008 г., http://www. /specifications. aspx? id=155
[10] «Порядок шифрования и аутентификации для защиты сообщений (или: насколько безопасен SSL?)» Уго Угольчика. В Advances in Cryptology - CRYPTO 2001, том 2139 лекций по информатике, страницы 310-331. Springer-Verlag, 2001
[11] FIPS Publication 197 (2001): «Advanced Encryption Standard (AES)», Национальный институт стандартов и технологий, http://csrc. nist. gov/publications/fips/fips197/fips-197.pdf
[12] Публикация FIPS 46-3 (1999): «Стандарт шифрования данных (DES)», Национальное бюро стандартов, http://csrc. nist. gov/publications/fips/fips46-3/fips46-3.pdf
[13] Техническое руководство TR-03110-3, «Часть 3 - Общие спецификации», Версия 2.20, 22 января 2015 года,
https://www. bsi. bund. de/DE/Publikationen/TechnischeRichtlinien/tr03110/index_htm. html
[14] Техническое руководство TR-03110-1, «Часть 1 - eMRTDs с BAC / PACEv2 и EACv1», версия 2.20, 26 февраля 2015 года. https://www. bsi. bund. de/DE/Publikationen/ TechnischeRichtlinien/tr03110/index_htm. html
[15] (eIDAS) », Bundesamt fьr Sicherheit in der Informationstechnik, 20 марта 2012 г. https://www. bsi. bund. de/ContentBSI/EN/Publications/Techguidelines/TR03110/BSITR03110.html
[16] Техническое руководство TR03111 2.0, «EllipticCurveCryptography», Bundesamt fьr Sicherheit in der Informationstechnik, 2012.
https://www. bsi. bund. de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03111/BSI-TR-03111_pdf. html
[17] Стандарты для эффективной криптографии «SEC 2: рекомендуемые параметры домена эллиптической кривой», версия 2.0, Certicom, 27 января 2010 г., http://www. secg. org/?action=secg, docs_secg
[18] RFC 2631, метод ключа Диффи-Хеллмана. E. Rescorla, июнь 1999 г., http://www. ietf. org/rfc/rfc2631.txt
[19] ITU-T X.509, Информационные технологии. Взаимосвязь открытых систем. Справочник. Рамки сертификатов открытых ключей и атрибутов, ноябрь 2008 г., http://www. itu. int/rec/dologin_pub. asp? lang=e&id=T-REC-X.509-200811-I!!PDF-E&type=items
[20] BRAINPOOL E. C.C. ECC Brainpool Standard Curves и Curve Generation, 2010. Доступно на http://tools. ietf. org/pdf/rfc5639.pdf
[21] Специальная публикация NIST 800-38B, рекомендация по блочным режимам шифрования: режим CMAC для аутентификации, Morris Dworkin, май 2005г., http://csrc. nist. gov/publications/nistpubs/800-38B/SP_800-38B. pdf
[22] ИКАО. «Машиносчитываемые проездные документы - технический отчет - дополнительный контроль доступа для машиночитаемых проездных документов», версия 1.01, 11 ноября 2010 года.
http://www2.icao. int/en/MRTD/Downloads/Doc%209303/Doc%209303%20English/Doc%209303%20Part%201%20Vol%201.pdf
[23] NIST. Публикация FIPS 180-4: Secure Hash Standard (SHS), март 2012 г., http://csrc. nist. gov/publications/PubsFIPS. html#fips180-4
[24] Нечеткое хранилище для отпечатков пальцев (2005) УмутУлудаг, Шарат Панканти, жайн в Proc. AVBPA, лекционные заметки в области компьютерных наук 3546, http://biometrics. cse. msu. edu/Publications/SecureBiometrics/UludagPankantiJain_FuzzyFpVault_AVBPA05.pdf
[25] BRIER E., CORON J. S., ICART T., MADORE D., RANDRIAM H., TIBOUCH M. «Эффективное индифферентное хеширование в обычные эллиптические кривые», Advances in Cryptology - CRYPTO 2010. Springer-Verlag, 2010
[26] CEN / TS15480-3: 2014, системы идентификационных карточек. Европейская карта гражданина. Часть 3. Европейская гражданская карта. Взаимодействие с использованием интерфейса приложения.
[27] SCHNEIER B. Прикладная криптография. John Wiley & Sons, Second Edition, 1996.,
https://www. /book-applied. html
[28] Позиционный документ Eurosmart, «ПОДПИСАНИЕ СЕРВЕРА В РЕЖИМЕ ЕИДАСА», сентябрь 2014 года, http://www. /6-news/news/274-eurosmart-position-paper-on-server-signing-within-the-eidas-regulation-september-2014
[29] ISO 3166: 2006, Коды для представления названий стран и их подразделений. Часть 1. Коды стран [30] ISO / IEC 7816 5: 2004, Идентификационные карточки - Карты интегральных схем. Часть 5. Регистрация поставщиков приложений
[31] ISO / IEC 14888 3: 2016, Информационные технологии. Методы обеспечения безопасности. Цифровые подписи с приложением. Часть 3. Механизмы дискретного логарифма.
[32] ISO / IEC 18033 3: 2010, Информационные технологии. Методы безопасности. Алгоритмы шифрования. Часть 3. Блокирующие шифры. [33] prEN 419241 1: 2016, надежные системы, поддерживающие подписывание сервера. Часть 1. Требования безопасности
[34] ОТЧЕТ по предложению о регулировании Европейского парламента и Совета по электронным идентификационным и доверительным услугам для электронных транзакций на внутреннем рынке (COM (2012) 0238 - C7-0133 / 2012 - 2012/0146 (ХПК) )
[35] BSI, Технический отчет Создание и администрирование подписи для токена eIDAS, часть 1: Функциональная спецификация Глава 7, версия 1.0. 2015/07/21, https://www. ssi. gouv. fr/uploads/2015/09/eidas_tr_signature_part1_v1_rc9-4.pdf
УДК МКС 35.240.15
Ключевые слова:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
