3 июня, 2019

TLS с ГОСТ: необходимая инфраструктура

В прошлых статьях мы рассказали о дискуссиях, посвященных криптографии в российском сегменте Интернет, на «РусКрипто’2018» и «РусКрипто’2019», и об основных принципах работы протокола TLS, а также о статусе его стандартизации в России. Прежде чем перейти к вопросу о реализациях TLS c ГОСТ, логично описать те компоненты инфраструктуры, без которых его работа будет невозможна или не в полной мере безопасна. Этому посвящена настоящая статья.

Необходимым условием функционирования протокола TLS является наличие доверия к сертификату открытого ключа серверной стороны. Для этого требуется собственно наличие пространства доверия, обеспечиваемое удостоверяющими центрами.

Одним из ключевых элементов, необходимых для обеспечения применения российских криптоалгоритмов при организации взаимодействия рядовых пользователей с информационными ресурсами в сети Интернет, может стать Национальный удостоверяющий центр (НУЦ), создаваемый в рамках программы «Информационная безопасность» Цифровой экономики. Целью создания НУЦ является формирование единого пространства доверия узлам .ru и .рф, функционирующего в соответствии с российским законодательством и принятыми в России государственными стандартами.

Единое пространство доверия предполагается обеспечить посредством создания иерархической структуры, состоящей из Национального удостоверяющего центра (корневой удостоверяющий центр, подчиненный удостоверяющий центр, портал национального удостоверяющего центра) и подчиненных аккредитованных удостоверяющих центров – отличных от текущих аккредитованных УЦ для выдачи квалифицированных сертификатов.

Корневой удостоверяющий центр Национального удостоверяющего центра будет предназначен для организации иерархической структуры: создания корневого самоподписанного сертификата (корня доверия) и выдачи сертификатов подчиненным удостоверяющим центрам в рамках иерархии. Доверенное распространение корневого сертификата Национального удостоверяющего центра будет обеспечено за счет его включения в сертифицированные средства криптографической защиты информации, распространяемые лицензиатами ФСБ России.

Подчиненный удостоверяющий центр Национального удостоверяющего центра будет предназначен для выдачи ГОСТ-TLS-сертификатов (или траст-сертификатов) владельцам web-ресурсов, включая органы государственной власти, органы местного самоуправления, организаторов распространения информации.

Портал Национального удостоверяющего центра будет предназначен для обеспечения взаимодействия Национального удостоверяющего центра с владельцами web-ресурсов, в части выдачи TLS-сертификатов и обеспечения сопровождения жизненного цикла TLS-сертификатов.

Предполагается, что аккредитованные удостоверяющие центры по выдаче TLS-сертификатов будут обеспечивать TLS-сертификатами физических и юридических лиц, не относящихся к органам государственной власти и местного самоуправления, а также к организаторам распространения информации.

ФГБУ НИИ «Восход» в 2018 году приступил к созданию Национального удостоверяющего центра и выполнил первый этап по созданию в части проектирования. На 2019 год запланированы работы по созданию программно-аппаратного комплекса Национального удостоверяющего центра с последующей сертификацией и запуском в промышленную эксплуатацию в 2020 году.

Наряду с существованием самой иерархии удостоверяющих центров для стабильной работы TLS-инфраструктуры необходимо проверять статус сертификатов – не через громоздкий механизм непосредственной работы со списками отзыва, а через запрос к доверенному OCSP-серверу, возвращающему подписанные ответы о статусе любого серверного сертификата. Средства, реализующие такие протоколы, уже существуют и эксплуатируются в других проектах (для работы с так называемой «усовершенствованной электронной подписью»).

Иначе обстоят дела с механизмом, обеспечивающим повышенную защиту от поддельных серверных сертификатов – так называемым «certificate transparency». Он нацелен на решение проблемы ошибочной выдачи сайтам сертификатов – по причине взлома или ошибки сотрудника УЦ. В рамках соответствующей рабочей группы IETF разработано решение, состоящее в формировании набора доверенных серверов с журналами (работа с которыми разрешена по принципу «только на добавление») выданных каждому конкретному имени сертификатов, а также автоматических средств отслеживания ошибочных или потенциально опасных ситуаций по данным журналам. В пилотном режиме за рубежом подобные доверенные сервера (в настоящий момент на мощностях компании Google) уже начали функционировать.

Чтобы TLSс ГОСТ мог стать по-настоящему массовым, требуется также предоставить возможность владельцам рядовых сайтов в сети Интернет быстро и просто получать ГОСТовые сертификаты на свои сайты – с помощью механизмов автоматического получения сертификатов, с пониженным уровнем доверия, таких как протоколы Automatic Certificate Management Environment (ACME), описанные в RFC 8555. Создание таких механизмов уже обсуждается в профессиональном сообществе российских разработчиков средств криптографической защиты информации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных