Система ЭЦП в Украине: проблемы становления и перспективы развития

Горбенко Ю.И. - ЗАО “Институт информационных технологий”, технический директор, к.т.н.;
Оноприенко В.В. - ЗАО “Институт информационных технологий”, заместитель генерального директора, к.т.н., с.н.с.;
Козак В. Ф. – ГП “Государственный центр испытаний средств технической защиты информации”, директор, к.в.н.

Под системой ЭЦП (или более широко – инфраструктурой открытых ключей) следует понимать организационно-техническую структуру, предназначенную для предоставления услуг ЭЦП и объединяющую центры сертификации ключей, контролирующий орган, подписантов и пользователей в единую систему, работающую по единым принципам и правилам.

Эти принципы и правила представляют собой совокупность норм и требований, изложенных в нескольких десятках нормативно-правовых актов.
После принятия 22 мая 2003 года Закона Украины “Об электронных документах и электронном документообороте” и Закона Украины “Об электронной цифровой подписи” работы по развертыванию инфраструктуры ЭЦП вошли в правовое поле, приобрели системный и более организованный характер.

Названия основных из них, определяющих правовые, организационные, процедурно-функциональные, а также отдельные технологические аспекты функционирования системы ЭЦП, представлены на рис.1.

Рисунок 1 – Основные нормативно-правовые акты в сфере ЭЦП.

В соответствии с законодательством Украины, субъектами взаимоотношений в сфере услуг ЭЦП являются подписанты, пользователи, центры сертификации ключей (ЦСК), аккредитованные ЦСК (АЦСК), удостоверяющие центры, центральный удостоверяющий орган (ЦЗО), контролирующий орган (с 1 января 2007 года – Государственная служба специальной связи и защиты информации Украины - Госспецсвязь).
Текущее состояние системы ЭЦП в Украине представлено на рис.2.

Рисунок 2 – Инфраструктура ЭЦП в Украине.

На сегодня в системе функционируют центральный удостоверяющий орган (с 1 июля 2008 года его функции возложены на Госкоминформатизации), удостоверяющий центр НБУ, 12 аккредитованных ЦСК, 5 зарегистрированных ЦСК, контролирующий орган, около 200 тысяч подписантов и пользователей ЭЦП, применяющих усиленные сертификаты открытых ключей.
Кроме того, на стадии проектирования и подготовки к аккредитации находится несколько ЦСК отдельных банков, органов исполнительной власти, государственных и коммерческих структур.
Особенностью национальной системы ЭЦП является использование одного стандарта ЭЦП – отечественного ДСТУ 4145-2002, а также строгая иерархичность и взаимозависимость элементов системы.

В результате этого уязвимости и угрозы безопасности на верхних уровнях системы могут повлечь за собой риски для всех ее субъектов. По этой причине обязательным условием применения ЭЦП в государственных структурах является использования только надежных средств ЭЦП (средства криптографической защиты информации (КЗИ), имеющие сертификат соответствия или положительное экспертное заключение), а также усиленных сертификатов открытых ключей, выдаваемых исключительно аккредитованными ЦСК.
Это же требование распространяется и на других субъектов – юридических и физических лиц, взаимодействующих электронным способом с государственными структурами.
В настоящее время сфера наиболее массового применения “усиленной” ЭЦП – это электронная отчетность субъектов хозяйствования перед государственными органами (ГНАУ, ПФУ, ГКФМУ и т.д.).

Имеются также примеры успешного внедрения систем юридически значимого электронного документооборота в отдельных государственных и коммерческих структурах (МЧС Украины, Минюсте Украины, ГТС Украины (таможне), Украинской железной дороге, НАЭК “Энергоатом”, АКБ “УкрСиббанк”, АКБ “УкрСоцбанк”, Национальном депозитарии Украины и т.д.).
Следует заметить, что, несмотря на наличие большого количества специализированных ЦСК и долголетний опыт практического использования ЭЦП в банковских системах, этот сегмент национальной инфраструктуры ЭЦП находится на начальном этапе своего становления. На сегодня ни один из ЦСК банков еще не прошел процедуру добровольной аккредитации. По этой причине применение усиленных сертификатов в банковских приложениях пока что имеет локальный характер, а для взаимодействия с государственными структурами банки вынуждены пользоваться услугами внешних АЦСК.
Очевидно, что базовыми элементами инфраструктуры ЭЦП являются аккредитованные ЦСК, предназначенные для предоставления услуг ЭЦП и обслуживания исключительно усиленных сертификатов.

В соответствии с законодательством Украины под услугами ЭЦП подразумевается:

- предоставление в пользование средств ЭЦП;
- оказание помощи при генерации открытых и личных ключей;
- формирование и обслуживание (блокировка, отмена, восстановление) сертификатов открытых ключей, предоставление информации о сертификатах;
- услуги фиксирования времени.
Технологическим ядром автоматизированной системы ЦСК является программно-технический комплекс (ПТК).

ПТК обеспечивает реализацию следующих регламентных процедур, имеющих отношение к обслуживанию сертификатов абонентов:

- регистрацию абонентов;
- ведение реестра абонентов;
- внесение, изменение, удаление регистрационных данных с реестра абонентов;
- архивирование и резервное копирование реестра абонентов;
- прием и регистрацию запросов абонентов на формирование сертификатов;
- формирование сертификатов;
- внесение сформированных сертификатов в реестр сертификатов;
- архивирование и резервное копирование реестра сертификатов;
- прием и регистрацию запросов абонентов на блокировку, отмену или восстановление сертификатов;
- блокировка, отмена или восстановление сертификатов на основании запросов;
- сохранение запросов, полученных от абонентов, в базе данных запросов;
- архивирование и резервное копирование базы данных запросов абонентов;
- внесение информации о текущем статусе сертификата в реестр сертификатов;
- формирование списков отозванных сертификатов;
- публикацию списков отозванных сертификатов в общедоступные каталоги (LDAP-каталоги) та на информационном ресурсе ЦСК (web-странице);
- предоставление доступа пользователям к спискам отозванных сертификатов в общедоступных каталогах (LDAP-каталогах) та на информационном ресурсе ЦСК (web-странице);
- информирование абонентов о смене статуса сертификата средствами электронной почты;
- предоставление услуг фиксирования времени (получение от ЦСК метки времени в соответствии с Постановлением КМУ № 680 от 26.05.2004);
- обеспечение защиты информации, которая обрабатывается, а также защита технических средств от НСД.
На рис. 3 представлена структура типового ПТК, разработанная при непосредственном участии авторов и реализованная в 5-ти аккредитованных и 2-х зарегистрированных ЦСК, устойчиво выполняющих вышеуказанные функции на протяжении нескольких лет.

В состав ПТК входят следующие технические средства:

- центральные сервера;
- сервера взаимодействия;
- рабочая станция (РС) администратора регистрации;
- РС администратора сертификации;
- РС администратора безопасности;
- коммутатор, межсетевой экран и другое коммуникационное оборудование;
- РС генерации ключей пользователей;
- РС удаленных администраторов регистрации в составе ПТК вынесенных пунктов регистрации ЦСК.

Кроме функциональных требований ПТК ЦСК должен обеспечивать совместимость ЦСК с другими элементами инфраструктуры ЭЦП, а также необходимый уровень безопасности ЦСК, в первую очередь – его ключевой системы.

На сегодня проблема совместимости ЦСК – один из наиболее острых вопросов дальнейшего развития инфраструктуры ЭЦП в Украине. Из-за различия в форматах ЭЦП и протоколах, обеспечивающих взаимодействие элементов системы, абоненты ЦСК, в которых используются ПТК от разных производителей, не могут взаимодействовать между собой.
Очевидный путь решения этой проблемы - гармонизация национальных стандартов, введение в действие технических спецификаций на форматы подписи, криптографических сообщений, протоколов проверки статуса сертификатов, формирование меток времени.

ЦЗО, при активном содействии контролирующего органа, уже разработал проекты таких технических спецификаций, в ближайшее время ожидается их введение в действие.
Сохраняет свою актуальность и проблема безопасности ключевой системы центров и личных ключей абонентов.
В Украине обязательные требования по безопасности к инфраструктуре ЭЦП в достаточной мере обозначены только на процедурно-функциональном и алгоритмическом уровнях. В то же время, крайне важные для проектирования ЦСК специфические требования к безопасности автоматизированных систем ЦСК и ПТК ЦСК, а также к криптографическим модулям – отсутствуют, что вынуждает разработчиков и заказчиков ЦСК формулировать такие требования в рамках технических заданий с ориентацией на свою квалификацию, свои финансовые и свои технологические возможности.

Следует заметить, что в Европе и США обязательным условием достижения высокого уровня безопасности для квалифицированных приложений является выполнения требований относительно аппаратной генерации и аппаратного использования ключей ЦСК.
Например, эти нормы напрямую прописаны в Европейском стандарте CWA 14167:
п. КМ 1.4 “Системные ключи и ключи управления ЦСК должны генерироваться и храниться в аппаратных криптографических модулях”.

Для абонентских ключей требования чуть слабее:

п. КМ 1.1 “Абонентские ключи должны генерироваться и храниться в защищенных криптографических модулях”;
п. КМ 1.2 “Модули должны быть оценены и сертифицированы с целью обеспечения таких требований:
- конфиденциальность и целостность ключей;
- идентификации и авторизации пользователей;
- обеспечение доступа к сервисам в зависимости от роли пользователя;
- ведение аудита;
- физическая защита, самотестирование, контроль целостности программного обеспечения” и т.д.
В условиях отсутствии национальных норм наш коллектив уделил большое внимание изучению международных требований относительно обеспечения безопасности PKI-структур.
На сегодня нами разработано семейство криптографических модулей для генерации, хранения и использования секретных ключей, которые используются в составе ПТК ЦСК (рис. 3) и обеспечивают выполнение следующих функций:

Рисунок 3 – Структурная схема типового ПТК ЦСК с использованием аппаратных модулей КЗИ,

- модуль подписи “Гряда-41П” - генерация, хранение в зашифрованном виде ключа ЦСК, реализация ЭЦП в составе центральных серверов. Благодаря такому решению секретный ключ центра не вводится в операционную систему серверов, что делает его практически неуязвимым;
- сетевой криптомодуль “Гряда-301” - аппаратная реализация криптопреобразований в составе центральных серверов (служб фиксирования времени и определения статуса сертификатов – TSP и OCSP). Обеспечивает высокую пропускную способность и быстродействие интерактивных служб TSP и OCSP (до 1200 подписей за 1 сек);
- генератор ключей “Гряда-4” - аппаратная генерация ключей пользователей;
- криптомодуль “Гряда-61” - аппаратная генерация ключей и реализация криптопреобразований в составе рабочей станции администраторов регистрации;
- электронный ключ “Кристалл-1” и старт-карта “Карта-1” - генерация, хранение и использование ключей подписантов (пользователей услуги ЭЦП), формирование ЕЦП и шифрование без ввода секретного ключа в операционную систему компьютера.

Применение указанных модулей КЗИ в составе ПТК ЦСК (рис. 3) позволяет реализовать:

- модульный принцип построения ПТК с возможностью масштабирования и «горячим» резервированием основных серверов и аппаратных модулей КЗИ;
- использование аппаратных средств КЗИ для генерации, хранения и использования ключей в соответствии с международным требованиям. Это позволяет решить проблему безопасного использования личных ключей как ЦСК, его должностных лиц, так и подписантов;
- высокую пропускную способность и быстродействие ПТК ЦСК за счет реализации криптопреобразований в специализированных модулях КЗИ;
- применение международных рекомендаций и промышленных стандартов при выборе соответствующих форматов и протоколов;
- совместимость с различными носителями ключевой информации.

На наш взгляд, перспективы дальнейшего развития системы ЭЦП в Украине, во многом будут зависеть от успешного решения следующих задач:

- гармонизации международных стандартов в сфере ЭЦП;
- разработки, с учетом международного опыта, технических спецификаций, определяющих синтаксис криптографических сообщений, форматы электронных документов, протоколы запросов на формирование меток времени, проверки статуса сертификатов;
- обеспечения безопасного функционирования системы путем безусловного выполнения всеми субъектами инфраструктуры ЭЦП существующих организационных и технических требований по безопасности информации, закрепления на нормативно-правовом уровне требований к:
- функциональности и уровням защищенности ПТК ЦСК;
- уровням гарантий отображения политик сертификации ЦСК;
- безопасности надежных средствам ЭЦП;
- внедрения технологий и процедур усиленной сертификации в различных секторах (банковском и т.д.).

В заключении следует отметить, что накопленный опыт становления инфраструктуры электронной цифровой подписи в Украине, творческий потенциал коллективов разработчиков, высокая квалификация специалистов, участвующих в развитии инфраструктуры ЭЦП в государственном, банковском и коммерческом секторах позволяют с оптимизмом прогнозировать завершение формирования системы ЭЦП уже в ближайшие годы, а также успешное использование технологий ЭЦП в различных приложениях.