3 июня, 2019

TLS с ГОСТ: необходимая инфраструктура

В прошлых статьях мы рассказали о дискуссиях, посвященных криптографии в российском сегменте Интернет, на «РусКрипто’2018» и «РусКрипто’2019», и об основных принципах работы протокола TLS, а также о статусе его стандартизации в России. Прежде чем перейти к вопросу о реализациях TLS c ГОСТ, логично описать те компоненты инфраструктуры, без которых его работа будет невозможна или не в полной мере безопасна. Этому посвящена настоящая статья.

Необходимым условием функционирования протокола TLS является наличие доверия к сертификату открытого ключа серверной стороны. Для этого требуется собственно наличие пространства доверия, обеспечиваемое удостоверяющими центрами.

Одним из ключевых элементов, необходимых для обеспечения применения российских криптоалгоритмов при организации взаимодействия рядовых пользователей с информационными ресурсами в сети Интернет, может стать Национальный удостоверяющий центр (НУЦ), создаваемый в рамках программы «Информационная безопасность» Цифровой экономики. Целью создания НУЦ является формирование единого пространства доверия узлам .ru и .рф, функционирующего в соответствии с российским законодательством и принятыми в России государственными стандартами.

Единое пространство доверия предполагается обеспечить посредством создания иерархической структуры, состоящей из Национального удостоверяющего центра (корневой удостоверяющий центр, подчиненный удостоверяющий центр, портал национального удостоверяющего центра) и подчиненных аккредитованных удостоверяющих центров – отличных от текущих аккредитованных УЦ для выдачи квалифицированных сертификатов.

Корневой удостоверяющий центр Национального удостоверяющего центра будет предназначен для организации иерархической структуры: создания корневого самоподписанного сертификата (корня доверия) и выдачи сертификатов подчиненным удостоверяющим центрам в рамках иерархии. Доверенное распространение корневого сертификата Национального удостоверяющего центра будет обеспечено за счет его включения в сертифицированные средства криптографической защиты информации, распространяемые лицензиатами ФСБ России.

Подчиненный удостоверяющий центр Национального удостоверяющего центра будет предназначен для выдачи ГОСТ-TLS-сертификатов (или траст-сертификатов) владельцам web-ресурсов, включая органы государственной власти, органы местного самоуправления, организаторов распространения информации.

Портал Национального удостоверяющего центра будет предназначен для обеспечения взаимодействия Национального удостоверяющего центра с владельцами web-ресурсов, в части выдачи TLS-сертификатов и обеспечения сопровождения жизненного цикла TLS-сертификатов.

Предполагается, что аккредитованные удостоверяющие центры по выдаче TLS-сертификатов будут обеспечивать TLS-сертификатами физических и юридических лиц, не относящихся к органам государственной власти и местного самоуправления, а также к организаторам распространения информации.

ФГБУ НИИ «Восход» в 2018 году приступил к созданию Национального удостоверяющего центра и выполнил первый этап по созданию в части проектирования. На 2019 год запланированы работы по созданию программно-аппаратного комплекса Национального удостоверяющего центра с последующей сертификацией и запуском в промышленную эксплуатацию в 2020 году.

Наряду с существованием самой иерархии удостоверяющих центров для стабильной работы TLS-инфраструктуры необходимо проверять статус сертификатов – не через громоздкий механизм непосредственной работы со списками отзыва, а через запрос к доверенному OCSP-серверу, возвращающему подписанные ответы о статусе любого серверного сертификата. Средства, реализующие такие протоколы, уже существуют и эксплуатируются в других проектах (для работы с так называемой «усовершенствованной электронной подписью»).

Иначе обстоят дела с механизмом, обеспечивающим повышенную защиту от поддельных серверных сертификатов – так называемым «certificate transparency». Он нацелен на решение проблемы ошибочной выдачи сайтам сертификатов – по причине взлома или ошибки сотрудника УЦ. В рамках соответствующей рабочей группы IETF разработано решение, состоящее в формировании набора доверенных серверов с журналами (работа с которыми разрешена по принципу «только на добавление») выданных каждому конкретному имени сертификатов, а также автоматических средств отслеживания ошибочных или потенциально опасных ситуаций по данным журналам. В пилотном режиме за рубежом подобные доверенные сервера (в настоящий момент на мощностях компании Google) уже начали функционировать.

Чтобы TLSс ГОСТ мог стать по-настоящему массовым, требуется также предоставить возможность владельцам рядовых сайтов в сети Интернет быстро и просто получать ГОСТовые сертификаты на свои сайты – с помощью механизмов автоматического получения сертификатов, с пониженным уровнем доверия, таких как протоколы Automatic Certificate Management Environment (ACME), описанные в RFC 8555. Создание таких механизмов уже обсуждается в профессиональном сообществе российских разработчиков средств криптографической защиты информации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных