Transcript Технические аспекты организации обмена юридически
Slide 1
Технические аспекты
организации обмена юридически значимыми
электронными документами
в рамках международного обмена
на основе протокола DVCS и службы ТТР
Санкт-Петербург, март 2007 год
ООО «Топ Кросс», Россия
Unizeto Technologies S.A., Польша
Сергей Муругов
Алла Столярова-Мыць
www.top-cross.ru
Slide 2
Содержание
Условия необходимые для взаимного
признания решений PKI
Юридические и технические
проблемы признания документов
содержащих электронную подпись
Концепция технического решения при
международном обмене электронных
документов
www.top-cross.ru
Slide 3
Элементы необходимые
для взаимного признавания решений PKI
Соответствие решений юридическим
законам
Oбоюдное доверие к используемым
решениям
Согласованность и совместимость
технических решений на основе
соответствия международным
стандартам (рекомендациям)
Услуги роаминга в PKI
www.top-cross.ru
Slide 4
Юридические и технические проблемы признания
электронно подписанных документов
Задачи международной интеграции требуют
обеспечения условий для обмена защищенными
электронными документами
Cубъекты информационного обмена могут
находиться в правовых полях, определяющих
взаимоисключаемость легитимно используемых
криптографических алгоритмов
Необходимость обеспечения признания
юридического значения и технических
возможности проверки электронно подписанных
документов
www.top-cross.ru
Slide 5
Концепция решения
«Электронного нотариата»
Задача может быть решена с применением технического решения, в
основу которого положены международные рекомендации RFC 3029 Data Validation and Certification Server
Размещение дополнительного сервиса реализующего функции
"Доверенной третьей стороны" в структуре Федерального
Удостоверяющего Центра РФ позволит обеспечить процедуру проверки
ЭЦП на криптографических алгоритмах контрагента информационного
обмена централизовано, с обеспечением всех необходимых
требований безопасности и особенностей функционирования
Служба proCertum DVCS компании Unizeto Technologies S.A.,
сотрудничающая с услугами proCertum OCSP и proCertum TSA,
предоставлена клиентам и дает возможность проверки ЭЦП
нанесенных согласно польскому Закону об электронной подписи
Результат проверки будет оформлен в виде электронной квитанции,
содержащей «штамп времени» и ЭЦП на легитимных криптографических
алгоритмах в конкретной правовой зоне
www.top-cross.ru
Slide 6
Структурная схема системы
«Электронного нотариата»
www.top-cross.ru
Slide 7
Схема взаимодействия
Одна точка
доверия,
прямое
подчинение
собственно
му издателю
Граница «Доверия»
между доменами
Транслируется запрос
пользователя
заверенный DVCS в
зону RU
Одна точка доверия, прямое
подчинение собственному ГОСТ
издателю как конечная точка
построения цепочки сертификации
Удостоверяющий
Центр (Poland и иные домены)Квитанция сформирована
и заверена DVCS RU,
+
предназначена для
Реестр (CRL+cert)
HSM (СКЗИ
трансляции пользователю
RSA “nChipher”
домена контрагента
FIPS 140-2
Level 3)
работает с
DVCS (RSA)
закрытыми
ключами RSA
HSM (СКЗИ RSA “eracom”
FIPS 140-1 Level 3)
Работает с закрытыми
ключами RSA (для
заверения DVC квитанции
для зарубежного DVCS)
Сертификат DVCS сервера
RSA для заверения
квитанций получен из
домена контрагента
Сертификат DVCS сервера
RSA
DVC
квитанция с
ЭЦП RSA
4
Заявка на VSD
2
Пользователь
RSA
www.top-cross.ru
1
Заверенный ГОСТ ЭЦП
Электронный документ
Удостоверяющий
Центр Уполномоченного
Федерального Органа
+
Реестр (CRL+cert)
DVCS (ГОСТ, RSA)
Сертификат DVCS сервера
ГОСТ (используется
только для обслуживания
отечественных
пользователей)
Пользователь
ГОСТ
Slide 8
Существующее техническое
решение обладает следующими характеристиками
Выполнение криптографических операций осуществляется
в PKCS#11 токенах для:
ООО «Топ Кросс», Россия
1. Для зарубежных криптографических алгоритмов RSA:
• HSM FIPS 140-1 модуль безопасности ProtectServer Orange (PSO-rus),
производства компании ООО «ФИННЕТ-СЕРВИС» (http://www.fnts.ru)
по лицензии «Eracom Technologies AG»
• Network Security Services (NSS) © 1998-2004 The Mozilla Organization.
Данный токен является частью открытого проекта Mozilla
2. CeXToken © 2005 ООО «Крипто Экс» (http://www.cryptoex.ru). токен
содержащий программную библиотеку защиты информации (ПБЗИ)
сертифицированную ФАПСИ/ФСБ, в которой присутствует реализация
государственных стандартов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р
34.10-2001, ГОСТ Р 34.11
www.top-cross.ru
Slide 9
Существующее техническое
решение обладает следующими характеристиками
Выполнение криптографических операций
осуществляется в PKCS#11 токенах для:
Unizeto Technologies S.A. Польша
1. Для криптографических алгоритмов RSA:
• HSM FIPS 140-2 модуль безопасности nShield производства
компании nCipher (http://www.ncipher.com)
2. Для зарубежных криптографических алгоритмов ГОСТ:
• Проверка электронной цифровой подписи при использовании
критпобиблитотек BouncyCastle
www.top-cross.ru
Slide 10
Расположение Службы
«Третьей доверенной стороны» в ИС
обработки ЭД защищенных ЭЦП
Удостоверяющий
Центр
сертификатов
ключей подписи
Служба «ТТР»
Сертификат
ключа подписи
DVC запрос содержит указание на одну из функций:
1. Удостоверение обладания информацией с или без
ее представления сервису.
2. Проверка действительности ЭЦП на конкретный
момент времени.
3. Проверка действительности сертификата
открытого ключа.
Интернет
Автоматизированное
рабочее место
Пользователь является
участником ИС,
обрабатывающей ЭД
защищенные ЭЦП
•
•
•
DVC, OCSP, TSP
Квитанции Могут быть
использованы
приложением.
DVC квитанция содержит:
1. Результат проверки.
2. Метку времени.
3. ЭЦП Службы.
Компоненты прикладной ИС
могут автоматически
формировать заявки и
получать DVC, OCSP, TSP
квитанции используя
утилиту командной строки
Прикладная система,
Обрабатывающая ЭД с ЭЦП
Служба проверки и сертификации информации (по RFC 3029. Internet X.509 Public Key
Infrastructure Data Validation and Certification Server Protocols (DVCS).)
Служба проверки сертификатов (по RFC 2560. Online Certificate Status Protocol - OCSP).
Служба выработки штампа времени (по RFC 3161. Time-Stamp Protocol
www.top-cross.ru
Slide 11
Существующее техническое
решение обладает следующими характеристиками
Предоставлена возможность выбора легитимной
криптосистемы для конкретного домена
ЭЦП проверяется в том домене, в котором выпущен
сертификат автора, что соответствует требованиям ФЗ «Об
ЭЦП» Статья 9 п.1 и аналогичным нормам других стран.
Доставка заявки и квитанции осуществляется по
защищенному протоколу TLS с взаимной аутентификацией
сторон информационного обмена, что препятствует
перлюстрации транспортируемой информации в каналах
связи.
Автоматическая пролонгация квитанций, построение
связанной цепочки квитанций, позволяющих сделать
логический вывод о действительности начальной ЭЦП по
истечении срока действия используемых ключей.
Реализация процедуры построения цепочки сертификации
оттестирована производителем по методикам National
Institute of Standards and Technology (NIST).
www.top-cross.ru
Slide 12
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 1
www.top-cross.ru
Slide 13
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 2
www.top-cross.ru
Slide 14
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 3
www.top-cross.ru
Slide 15
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 4
www.top-cross.ru
Slide 16
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 5
www.top-cross.ru
Slide 17
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 6
www.top-cross.ru
Slide 18
Список документов
[PKCS#1] RFC 2437, B. Kaliski, J. Staddon, “PKCS #1: RSA Cryptography Specifications
Version 2.0”, October 1998.
[ГОСТ 28147-89] Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования. Издательство стандартов, 1996.
[ГОСТ Р 34.10-94] Информационная технология. Криптографическая защита
информации. Процедуры выработки и проверки электронной цифровой подписи на
базе асимметричного криптографического алгоритма. Издательство стандартов, 1994.
[ГОСТ Р 34.10-2001] Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки электронной подписи.
Издательство стандартов, 2001.
[ГОСТ Р 34.11-94] Информационная технология. Криптографическая защита
информации. Функция хэширования. Издательство стандартов, 1994.
[PKCS#11] PKCS #11 v2.20: Cryptographic Token Interface Standard. RSA Laboratories, 28
June 2004.
[RFC 3280] R. Housley, W. Polk, W. Ford, D. Solo, “Internet X.509 Public Key Infrastructure.
Certificate and Certificate Revocation List (CRL) Profile”, April 2002.
[ТК-ИОК-ЭН] «Автоматизированная Система «Электронный Нотариус» «ТК-ЭН» (версия
1.0) Описание применения» , ООО «Топ Кросс», Москва, 2005 г.
[DVCS] C. Adams, P. Sylvester, M. Zolotarev, R. Zuccherato, “Internet X.509 Public Key
Infrastructure. Data Validation and Certification Server Protocols”, RFC 3029, February 2001.
[TSL] ETSI TS 102 231 Electronic Signatures and Infrastructures (ESI); Provision of
harmonized Trust Service Provider status information, Technical Specification
[PKI] Lectures on Public Key Infrastructure and its Аpplication on .NET platform, Microsoft
Information Security and Technology Training Center, Moscow Engineering Physics Institute
(State University), 2004
www.top-cross.ru
Slide 19
ИСПОЛЬЗУЕМЫЕ РЕШЕНИЯ
ООО «Топ Кросс»
Россия
www.top-cross.ru
E-mail: [email protected]
Unizeto Technologies S.A.
Польша
www.unizeto.pl
E-mail: [email protected]
Вопросы ?...
www.top-cross.ru
Технические аспекты
организации обмена юридически значимыми
электронными документами
в рамках международного обмена
на основе протокола DVCS и службы ТТР
Санкт-Петербург, март 2007 год
ООО «Топ Кросс», Россия
Unizeto Technologies S.A., Польша
Сергей Муругов
Алла Столярова-Мыць
www.top-cross.ru
Slide 2
Содержание
Условия необходимые для взаимного
признания решений PKI
Юридические и технические
проблемы признания документов
содержащих электронную подпись
Концепция технического решения при
международном обмене электронных
документов
www.top-cross.ru
Slide 3
Элементы необходимые
для взаимного признавания решений PKI
Соответствие решений юридическим
законам
Oбоюдное доверие к используемым
решениям
Согласованность и совместимость
технических решений на основе
соответствия международным
стандартам (рекомендациям)
Услуги роаминга в PKI
www.top-cross.ru
Slide 4
Юридические и технические проблемы признания
электронно подписанных документов
Задачи международной интеграции требуют
обеспечения условий для обмена защищенными
электронными документами
Cубъекты информационного обмена могут
находиться в правовых полях, определяющих
взаимоисключаемость легитимно используемых
криптографических алгоритмов
Необходимость обеспечения признания
юридического значения и технических
возможности проверки электронно подписанных
документов
www.top-cross.ru
Slide 5
Концепция решения
«Электронного нотариата»
Задача может быть решена с применением технического решения, в
основу которого положены международные рекомендации RFC 3029 Data Validation and Certification Server
Размещение дополнительного сервиса реализующего функции
"Доверенной третьей стороны" в структуре Федерального
Удостоверяющего Центра РФ позволит обеспечить процедуру проверки
ЭЦП на криптографических алгоритмах контрагента информационного
обмена централизовано, с обеспечением всех необходимых
требований безопасности и особенностей функционирования
Служба proCertum DVCS компании Unizeto Technologies S.A.,
сотрудничающая с услугами proCertum OCSP и proCertum TSA,
предоставлена клиентам и дает возможность проверки ЭЦП
нанесенных согласно польскому Закону об электронной подписи
Результат проверки будет оформлен в виде электронной квитанции,
содержащей «штамп времени» и ЭЦП на легитимных криптографических
алгоритмах в конкретной правовой зоне
www.top-cross.ru
Slide 6
Структурная схема системы
«Электронного нотариата»
www.top-cross.ru
Slide 7
Схема взаимодействия
Одна точка
доверия,
прямое
подчинение
собственно
му издателю
Граница «Доверия»
между доменами
Транслируется запрос
пользователя
заверенный DVCS в
зону RU
Одна точка доверия, прямое
подчинение собственному ГОСТ
издателю как конечная точка
построения цепочки сертификации
Удостоверяющий
Центр (Poland и иные домены)Квитанция сформирована
и заверена DVCS RU,
+
предназначена для
Реестр (CRL+cert)
HSM (СКЗИ
трансляции пользователю
RSA “nChipher”
домена контрагента
FIPS 140-2
Level 3)
работает с
DVCS (RSA)
закрытыми
ключами RSA
HSM (СКЗИ RSA “eracom”
FIPS 140-1 Level 3)
Работает с закрытыми
ключами RSA (для
заверения DVC квитанции
для зарубежного DVCS)
Сертификат DVCS сервера
RSA для заверения
квитанций получен из
домена контрагента
Сертификат DVCS сервера
RSA
DVC
квитанция с
ЭЦП RSA
4
Заявка на VSD
2
Пользователь
RSA
www.top-cross.ru
1
Заверенный ГОСТ ЭЦП
Электронный документ
Удостоверяющий
Центр Уполномоченного
Федерального Органа
+
Реестр (CRL+cert)
DVCS (ГОСТ, RSA)
Сертификат DVCS сервера
ГОСТ (используется
только для обслуживания
отечественных
пользователей)
Пользователь
ГОСТ
Slide 8
Существующее техническое
решение обладает следующими характеристиками
Выполнение криптографических операций осуществляется
в PKCS#11 токенах для:
ООО «Топ Кросс», Россия
1. Для зарубежных криптографических алгоритмов RSA:
• HSM FIPS 140-1 модуль безопасности ProtectServer Orange (PSO-rus),
производства компании ООО «ФИННЕТ-СЕРВИС» (http://www.fnts.ru)
по лицензии «Eracom Technologies AG»
• Network Security Services (NSS) © 1998-2004 The Mozilla Organization.
Данный токен является частью открытого проекта Mozilla
2. CeXToken © 2005 ООО «Крипто Экс» (http://www.cryptoex.ru). токен
содержащий программную библиотеку защиты информации (ПБЗИ)
сертифицированную ФАПСИ/ФСБ, в которой присутствует реализация
государственных стандартов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р
34.10-2001, ГОСТ Р 34.11
www.top-cross.ru
Slide 9
Существующее техническое
решение обладает следующими характеристиками
Выполнение криптографических операций
осуществляется в PKCS#11 токенах для:
Unizeto Technologies S.A. Польша
1. Для криптографических алгоритмов RSA:
• HSM FIPS 140-2 модуль безопасности nShield производства
компании nCipher (http://www.ncipher.com)
2. Для зарубежных криптографических алгоритмов ГОСТ:
• Проверка электронной цифровой подписи при использовании
критпобиблитотек BouncyCastle
www.top-cross.ru
Slide 10
Расположение Службы
«Третьей доверенной стороны» в ИС
обработки ЭД защищенных ЭЦП
Удостоверяющий
Центр
сертификатов
ключей подписи
Служба «ТТР»
Сертификат
ключа подписи
DVC запрос содержит указание на одну из функций:
1. Удостоверение обладания информацией с или без
ее представления сервису.
2. Проверка действительности ЭЦП на конкретный
момент времени.
3. Проверка действительности сертификата
открытого ключа.
Интернет
Автоматизированное
рабочее место
Пользователь является
участником ИС,
обрабатывающей ЭД
защищенные ЭЦП
•
•
•
DVC, OCSP, TSP
Квитанции Могут быть
использованы
приложением.
DVC квитанция содержит:
1. Результат проверки.
2. Метку времени.
3. ЭЦП Службы.
Компоненты прикладной ИС
могут автоматически
формировать заявки и
получать DVC, OCSP, TSP
квитанции используя
утилиту командной строки
Прикладная система,
Обрабатывающая ЭД с ЭЦП
Служба проверки и сертификации информации (по RFC 3029. Internet X.509 Public Key
Infrastructure Data Validation and Certification Server Protocols (DVCS).)
Служба проверки сертификатов (по RFC 2560. Online Certificate Status Protocol - OCSP).
Служба выработки штампа времени (по RFC 3161. Time-Stamp Protocol
www.top-cross.ru
Slide 11
Существующее техническое
решение обладает следующими характеристиками
Предоставлена возможность выбора легитимной
криптосистемы для конкретного домена
ЭЦП проверяется в том домене, в котором выпущен
сертификат автора, что соответствует требованиям ФЗ «Об
ЭЦП» Статья 9 п.1 и аналогичным нормам других стран.
Доставка заявки и квитанции осуществляется по
защищенному протоколу TLS с взаимной аутентификацией
сторон информационного обмена, что препятствует
перлюстрации транспортируемой информации в каналах
связи.
Автоматическая пролонгация квитанций, построение
связанной цепочки квитанций, позволяющих сделать
логический вывод о действительности начальной ЭЦП по
истечении срока действия используемых ключей.
Реализация процедуры построения цепочки сертификации
оттестирована производителем по методикам National
Institute of Standards and Technology (NIST).
www.top-cross.ru
Slide 12
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 1
www.top-cross.ru
Slide 13
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 2
www.top-cross.ru
Slide 14
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 3
www.top-cross.ru
Slide 15
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 4
www.top-cross.ru
Slide 16
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 5
www.top-cross.ru
Slide 17
Пример общения пользователя со Службой
«Третьей доверенной стороны» при обработке ЭД
защищенных ЭЦП - 6
www.top-cross.ru
Slide 18
Список документов
[PKCS#1] RFC 2437, B. Kaliski, J. Staddon, “PKCS #1: RSA Cryptography Specifications
Version 2.0”, October 1998.
[ГОСТ 28147-89] Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования. Издательство стандартов, 1996.
[ГОСТ Р 34.10-94] Информационная технология. Криптографическая защита
информации. Процедуры выработки и проверки электронной цифровой подписи на
базе асимметричного криптографического алгоритма. Издательство стандартов, 1994.
[ГОСТ Р 34.10-2001] Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки электронной подписи.
Издательство стандартов, 2001.
[ГОСТ Р 34.11-94] Информационная технология. Криптографическая защита
информации. Функция хэширования. Издательство стандартов, 1994.
[PKCS#11] PKCS #11 v2.20: Cryptographic Token Interface Standard. RSA Laboratories, 28
June 2004.
[RFC 3280] R. Housley, W. Polk, W. Ford, D. Solo, “Internet X.509 Public Key Infrastructure.
Certificate and Certificate Revocation List (CRL) Profile”, April 2002.
[ТК-ИОК-ЭН] «Автоматизированная Система «Электронный Нотариус» «ТК-ЭН» (версия
1.0) Описание применения» , ООО «Топ Кросс», Москва, 2005 г.
[DVCS] C. Adams, P. Sylvester, M. Zolotarev, R. Zuccherato, “Internet X.509 Public Key
Infrastructure. Data Validation and Certification Server Protocols”, RFC 3029, February 2001.
[TSL] ETSI TS 102 231 Electronic Signatures and Infrastructures (ESI); Provision of
harmonized Trust Service Provider status information, Technical Specification
[PKI] Lectures on Public Key Infrastructure and its Аpplication on .NET platform, Microsoft
Information Security and Technology Training Center, Moscow Engineering Physics Institute
(State University), 2004
www.top-cross.ru
Slide 19
ИСПОЛЬЗУЕМЫЕ РЕШЕНИЯ
ООО «Топ Кросс»
Россия
www.top-cross.ru
E-mail: [email protected]
Unizeto Technologies S.A.
Польша
www.unizeto.pl
E-mail: [email protected]
Вопросы ?...
www.top-cross.ru