Компания ООО «Газинформсервис» ведет активную работу по совершенствованию своих продуктов и решений на основе инфраструктуры открытых ключей (PKI), руководствуясь при этом лучшими отечественными и мировыми практиками, стандартами и рекомендациями. В рамках этой деятельности, завершена проверка программного комплекса «Litoria Desktop» на соответствие реализуемых им функций комплексу тестов, рекомендованных Национальным институтом по стандартам и технологиям (National Institute of Standards and Technology, далее — NIST) [1]. Эти тесты позволяют подтвердить корректность функционирования средств электронной подписи (ЭП) при выполнении ими валидации сертификатов ключей проверки ЭП и цепочки сертификатов.
Цепочка сертификатов представляет собой иерархическую структуру сертификатов ключей проверки ЭП, построенную по принципу Sn(Sn-1), где Sn – сертификат, подтверждаемый сертификатом Sn-1. Исключение составляет корневой сертификат S1(S1), так как он является «самоподписанным» (рисунок 1).
_300x169.jpg)
Рисунок 1 – Принцип построения цепочки сертификатов
Цепочка начинается с сертификата корневого УЦ, и заканчивается пользовательским сертификатом. Длина цепочки, теоретически, не ограничена, а практически, в среднем, составляет от двух до пяти сертификатов. Процедуры проверки цепочки сертификатов основаны на алгоритмах, представленных в рекомендациях ITU-T X.509 «Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks» («Информационные технологии – Взаимосвязь открытых систем – Справочник: Структуры сертификатов открытых ключей и атрибутов»), которые определяют форматы данных и процедуры распределения ключей проверки ЭП с помощью сертификатов ключей проверки ЭП, а позднее эти же процедуры были описаны, развиты и конкретизированы в рекомендациях RFC 5280 «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile» («Описание сертификатов и списков отозванных сертификатов для X.509/PKI-инфраструктуры Интернет»). Процесс проверки цепочки сертификатов предполагает установление связи между именем субъекта и ключом проверки ЭП этого субъекта, указанным в сертификате. Чтобы убедиться в безопасности и корректности функционирования PKI-совместимых приложений, путь сертификатов должен соответствовать рекомендациям X.509 и RFC 5280.
Смысл PKI-тестов NIST заключается в том, что каждый тест содержит проверку на конкретную ошибку обработки сертификата или цепочки сертификатов: некорректное содержимое поля сертификата, истечение или не наступление срока действия сертификата, нарушение связей в цепочке сертификатов и прочее.
Так, например, раздел 4.1 тестов обеспечивает проверки, согласно которым средство ЭП должно иметь возможность проверять ЭП каждого сертификата, входящего в цепочку, используя ключ проверки ЭП из предыдущего сертификата (или корневого ключа проверки ЭП для проверки ЭП первого сертификата в цепочке).
Раздел 4.2. обеспечивает проверки, согласно которым средство ЭП должно гарантировать, что срок действия каждого сертификата в цепочке сертификатов не истек на текущий момент времени или равен текущему времени, а время начала действия каждого сертификата в цепочке не позже, чем текущее время или равно текущему времени. И т.д.
Всего таких разделов 16, а комплекс тестов включает 200 различных проверок.
На рисунках 2 и 3 представлены иллюстрации выполнения тестовых примеров программным комплексом «Litoria Desktop». Вкладка «Управление сертификатами» (рисунок 2) позволяет установить тестовые сертификаты. Окно «Сертификат» (рисунок 3) иллюстрирует результаты проверки отдельных сертификатов ключей проверки ЭП, а также цепочек сертификатов и позволяет сравнить эти результаты с эталонными результатами тестирования, описанными NIST.
.jpg)
Рисунок 2 – Пользовательский интерфейс ПК «Litoria Desktop», вкладка «Управление сертификатами»
.jpg)
Рисунок 3 – Пользовательский интерфейс ПК «Litoria Desktop», окно «Сертификат». Результаты проверки
Данный метод оценки средств ЭП может быть применен для всех представленных на рынке продуктов, обеспечивающих работу с ЭП, и другими механизмами безопасности, использующими PKI. А на основании результатов можно сделать вывод о том, какое из средств обеспечивает правильную реализацию функций PKI.
Следует отметить, что некорректная реализация проверок сертификатов, а также их цепочек может привести к ошибочной обработке электронного документа и наступлению неблагоприятных правовых последствий, что может повлечь за собой финансовый и репутационный ущерб для пользователей таких средств ЭП.
14 ноября 2016 года программный комплекс «Litoria Desktop» версии 1.0.36 успешно прошел все 200 тестов NIST, о чем мы с радостью спешим сообщить нашим пользователям!
Проверка функциональности ПК «Litoria Desktop» на основе комплекса тестов NIST и успешное ее завершение в очередной раз подтверждает ответственный подход к разработке продуктов компанией ООО «Газинформсервис».
[1] «Набор тестов инфраструктуры открытых ключей. Проверка цепочек сертификатов» («Public Key Interoperability Test Suite (PKITS) Certification Path Validation»).
Авторы:
 |
 |
|
Кирюшкин Сергей Анатольевич, |
Станкевич Татьяна Леонидовна, |
.jpg)
.png)