3 июня, 2019

TLS с ГОСТ: необходимая инфраструктура

В прошлых статьях мы рассказали о дискуссиях, посвященных криптографии в российском сегменте Интернет, на «РусКрипто’2018» и «РусКрипто’2019», и об основных принципах работы протокола TLS, а также о статусе его стандартизации в России. Прежде чем перейти к вопросу о реализациях TLS c ГОСТ, логично описать те компоненты инфраструктуры, без которых его работа будет невозможна или не в полной мере безопасна. Этому посвящена настоящая статья.

Необходимым условием функционирования протокола TLS является наличие доверия к сертификату открытого ключа серверной стороны. Для этого требуется собственно наличие пространства доверия, обеспечиваемое удостоверяющими центрами.

Одним из ключевых элементов, необходимых для обеспечения применения российских криптоалгоритмов при организации взаимодействия рядовых пользователей с информационными ресурсами в сети Интернет, может стать Национальный удостоверяющий центр (НУЦ), создаваемый в рамках программы «Информационная безопасность» Цифровой экономики. Целью создания НУЦ является формирование единого пространства доверия узлам .ru и .рф, функционирующего в соответствии с российским законодательством и принятыми в России государственными стандартами.

Единое пространство доверия предполагается обеспечить посредством создания иерархической структуры, состоящей из Национального удостоверяющего центра (корневой удостоверяющий центр, подчиненный удостоверяющий центр, портал национального удостоверяющего центра) и подчиненных аккредитованных удостоверяющих центров – отличных от текущих аккредитованных УЦ для выдачи квалифицированных сертификатов.

Корневой удостоверяющий центр Национального удостоверяющего центра будет предназначен для организации иерархической структуры: создания корневого самоподписанного сертификата (корня доверия) и выдачи сертификатов подчиненным удостоверяющим центрам в рамках иерархии. Доверенное распространение корневого сертификата Национального удостоверяющего центра будет обеспечено за счет его включения в сертифицированные средства криптографической защиты информации, распространяемые лицензиатами ФСБ России.

Подчиненный удостоверяющий центр Национального удостоверяющего центра будет предназначен для выдачи ГОСТ-TLS-сертификатов (или траст-сертификатов) владельцам web-ресурсов, включая органы государственной власти, органы местного самоуправления, организаторов распространения информации.

Портал Национального удостоверяющего центра будет предназначен для обеспечения взаимодействия Национального удостоверяющего центра с владельцами web-ресурсов, в части выдачи TLS-сертификатов и обеспечения сопровождения жизненного цикла TLS-сертификатов.

Предполагается, что аккредитованные удостоверяющие центры по выдаче TLS-сертификатов будут обеспечивать TLS-сертификатами физических и юридических лиц, не относящихся к органам государственной власти и местного самоуправления, а также к организаторам распространения информации.

ФГБУ НИИ «Восход» в 2018 году приступил к созданию Национального удостоверяющего центра и выполнил первый этап по созданию в части проектирования. На 2019 год запланированы работы по созданию программно-аппаратного комплекса Национального удостоверяющего центра с последующей сертификацией и запуском в промышленную эксплуатацию в 2020 году.

Наряду с существованием самой иерархии удостоверяющих центров для стабильной работы TLS-инфраструктуры необходимо проверять статус сертификатов – не через громоздкий механизм непосредственной работы со списками отзыва, а через запрос к доверенному OCSP-серверу, возвращающему подписанные ответы о статусе любого серверного сертификата. Средства, реализующие такие протоколы, уже существуют и эксплуатируются в других проектах (для работы с так называемой «усовершенствованной электронной подписью»).

Иначе обстоят дела с механизмом, обеспечивающим повышенную защиту от поддельных серверных сертификатов – так называемым «certificate transparency». Он нацелен на решение проблемы ошибочной выдачи сайтам сертификатов – по причине взлома или ошибки сотрудника УЦ. В рамках соответствующей рабочей группы IETF разработано решение, состоящее в формировании набора доверенных серверов с журналами (работа с которыми разрешена по принципу «только на добавление») выданных каждому конкретному имени сертификатов, а также автоматических средств отслеживания ошибочных или потенциально опасных ситуаций по данным журналам. В пилотном режиме за рубежом подобные доверенные сервера (в настоящий момент на мощностях компании Google) уже начали функционировать.

Чтобы TLSс ГОСТ мог стать по-настоящему массовым, требуется также предоставить возможность владельцам рядовых сайтов в сети Интернет быстро и просто получать ГОСТовые сертификаты на свои сайты – с помощью механизмов автоматического получения сертификатов, с пониженным уровнем доверия, таких как протоколы Automatic Certificate Management Environment (ACME), описанные в RFC 8555. Создание таких механизмов уже обсуждается в профессиональном сообществе российских разработчиков средств криптографической защиты информации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных