Иерархическая модель: Иерархическая модель




НазваниеИерархическая модель: Иерархическая модель
Дата конвертации01.03.2013
Размер445 b.
ТипПрезентации





Иерархическая модель:

  • Иерархическая модель:

    • Центральный удостоверяющий орган (ЦУО);
    • Удостоверяющий центр (УЦ) органа государственной власти;
    • Аккредитованный ЦСК (АЦСК) или Зарегистрированный ЦСК (ЗЦСК);
    • Конечный пользователь.
  • Задача: Должны быть решены задачи смены сертификата цепочки без ухудшения эксплуатационных характеристик системы цифровой подписи (ЭЦП).









Требование 1 (действительный ключ сертификации): Каждая инстанция иерархии сертификации должна быть способна в любое время располагать действительным ключом подписи/сертификации.

  • Требование 1 (действительный ключ сертификации): Каждая инстанция иерархии сертификации должна быть способна в любое время располагать действительным ключом подписи/сертификации.

  • Требование 2 (сертификаты «прямого» действия): Инфраструктура сертификации должна быть сконструирована так, что при нормальных/ штатных обстоятельствах не может действительная подпись на определенное время проверки оказаться недействительной, и наоборот. ЦСК не должен выдавать сертификаты «обратного действия», т.е. когда начало действия сертификата установлено на дату более раннюю, чем дата создания сертификата.

  • Требование 3 (надежность ключа сертификации): Срок жизни ключа ЦСК и его сертификата должен быть криптографически обоснован стойкостью ключа, с учетом возможной его компрометации в процессе эксплуатации, в том числе из-за возможных недостатков и рисков в организационных мерах безопасности.

  • Требование 4 (управление несколькими ЦСК сертификатами): Чтобы иметь возможность сертифицировать в любое время, ЦСК должен управлять несколькими сертификатами, которые будут действительны одновременно. Количество одновременно действительных ЦСК сертификатов зависит от периода действия их ключа сертификации.















№3 : видоизменение сценария 2 для нижней ступени иерархии

  • №3 : видоизменение сценария 2 для нижней ступени иерархии

  • Ступень 1 модифицируется так, что ЦСК уровня 2 имеет в любое время два одновременно действительных ключей сертификации.

  • Ключи имеют равный срок действия V = V(C1(2)) = V(C2(2)).

  • Изменение одного ключа происходит в середине периода срока действия другого ключа:

  • S(C1(2)) = S(C2(2)) + V / 2.

  • S(C2(2)) = S(C1(2)) + V / 2.

  • ЦСК гарантирует действительность ключа конечного пользователя на указанный в сертификате период, а, исходя из этого периода, и применимость его сертификата.

  • До сертификата конечного пользователя путь сертификации может изменяться.



№5 : Гарантия действительности общего/всего пути сертификации

  • №5 : Гарантия действительности общего/всего пути сертификации

  • Преимущества модели:

  • В течение общего/всего срока действия сертификата путь сертификации для ключа подписи остается постоянным.

  • После выдачи сертификата, как правило, не требуется больше никакого общения между конечным пользователем и учреждением сертификации.

  • Для сертифицирования должен использоваться только соответственно недавний (более новый).

  • Никакая пост-сертификация сертификатов конечного пользователя не требуется.

  • Недостатки модели:

  • Продление промежутков времени действия от уровня к уровню по отношению к АР(i):

  • Необходимо несколько одновременно действительных ключей на каждом уровне.

  • Длинные промежутки времени действия для сертификатов верхних уровней. Вследствие этого имеет место повышенная вероятность компрометации, которая должна минимизироваться дополнительными организационно-техническими мерами.



Задача – определить количество одновременно действительных, управляемых ключей сертификации учреждения сертификации для каждого уровня иерархии.

  • Задача – определить количество одновременно действительных, управляемых ключей сертификации учреждения сертификации для каждого уровня иерархии.

  • Согласно Постановлению Кабинета министров Украины от 13.07.2004 г. №903 [8]

  • Личный ключ АЦСК может быть действительным не более 5-ти лет (п.4.4.1 Постановления КМУ);

  • Личный ключ конечного пользователя может быть действительным не более 2-х лет (п.5.3.2 Постановления КМУ).



Для уровней иерархии VK (i) (VK = Validity Key) – период действительности личного ключа уровня i (в годах):

  • Для уровней иерархии VK (i) (VK = Validity Key) – период действительности личного ключа уровня i (в годах):

  • VK (1) = 2;

  • VK (2) = 5;

  • VK (3) = 7;

  • VK (4) = 10.

  • Максимальное количество одновременно действительных, управляемых ключей сертификации K(i) учреждения сертификации i-го уровня:

  • K(i) =  VK(i)/ (VK(i) – VK(i-1)) , при i = 2, …,

  • где

  • VK(i) > VK(i-1).

  • .. - обозначает операцию округления до большего целого.







Установка на стороне клиента нового корневого сертификата при его замене, и установление доверия пользователей.

  • Установка на стороне клиента нового корневого сертификата при его замене, и установление доверия пользователей.

  • Целью мер является установка доверия к новому корневому сертификату автоматически, что можно обеспечить механизмом кросс-сертификации (см., например, RFC 4210:2005). В Украине не регламентировано.

  • Необходима четкая/строгая регламентация порядка использования ключа ЦСК, политик формирования/ проверки подписи и др. Центральный орган надзора (основные функции в соответствии с NIST SP 800-57 ):

    • координирует политику защиты и практику (процедуры),
    • может функционировать как держатель данных, предоставленных ЦСК, и
    • выступает в качестве источника общего и системного уровня информации, требуемой для ЦСК всех уровней, например, рекомендации/ требования по выбору ключевого материала (алгоритмы, длины ключей и др.), информации о регистрации, каталог данных, спецификаций системной политики, информация о компрометации ключей, информации об отзыве сертификатов и др.
    • в соответствии с требованиями живучести или политики операционной непрерывности, Центральный орган надзора может функционировать (в соответствующем удаленном узле) как система резервного копирования для ЦСК всех уровней.
  • Подробно с анализом можно ознакомиться на нашем сайте по адресу:

  • http://www.itsway.kiev.ua/pdf/PKI_ChangeKeys.pdf





Похожие:

Иерархическая модель: Иерархическая модель iconИерархическая файловая система

Иерархическая модель: Иерархическая модель iconМодель сохраняет наиболее важные характеристики и свойства оригинала. Модель сохраняет наиболее важные характеристики и свойства оригинала
Информационная модель описание реального объекта (процесса, явления) на одном из языков (разговорном или формальном)
Иерархическая модель: Иерархическая модель iconМодель публикации Модель публикации
Каталоги таксономии классов онтологии информационных ресурсов предметной области
Иерархическая модель: Иерархическая модель iconМуниципальное право Организационные основы местного самоуправления
Модель Допустима только для сельских поселений Модель Традиционный вариант (для всех типов мо)
Иерархическая модель: Иерархическая модель icon28. 08. 09 Пс модель го. Перспективы её развития. 28. 08. 09 Пс модель го. Перспективы её развития
Пс «Модель го. Перспективы её развития. 28. 08. 09 пс «Модель го. Перспективы её развития. 15. 03. 09 Эмс «Институциональная модель...
Иерархическая модель: Иерархическая модель iconУниверсальность
Иерархическая группировка пользователей Назначение ответственных лиц для управления группами пользователей
Иерархическая модель: Иерархическая модель icon-
Интернет иерархическая структура, где каждая из сетей отвечает за трафик, который протекает внутри нее, за передачу его в сети более...
Иерархическая модель: Иерархическая модель iconОписательная информационная модель Описательная информационная модель
Учитывается, что на численность популяций оказывает влияние величина ежегодного отлова
Иерархическая модель: Иерархическая модель iconОбъектно-ориентированный дизайн Цели объектно-ориентированного дизайна
...
Иерархическая модель: Иерархическая модель iconМодель голосования ногами Тибу: Модель голосования ногами Тибу
...
Разместите кнопку на своём сайте:
hnu.docdat.com


База данных защищена авторским правом ©hnu.docdat.com 2012
обратиться к администрации
hnu.docdat.com
Главная страница