Ольга Полянская - Инфраструктуры открытых ключей

Наиболее распространенными и часто обсуждаемыми вариантами неотказуемости являются неотказуемость источника(когда пользователь не может ложно отказаться от отправки сообщения или документа) и неотказуемость получения(когда пользователь не может ложно отказаться от получения сообщения или документа). Однако должны быть определены и другие варианты, включая неотказуемость создания, неотказуемость доставки и неотказуемость подтверждения.

Основная идея невозможности отказа от определенного действия состоит в том, что пользователь криптографически связан со специфическим действием таким образом, что последующий отказ от этого действия равнозначен в некоторой степени признанию злого умысла или преступной небрежности пользователя. Если, например, пользователь В отправляет заверенное цифровой подписью сообщение пользователю А , подтверждая, что он ( В ) получил определенное сообщение от пользователя А , то позднее не может отказаться от получения этого сообщения без признания одного из следующих обстоятельств:

1он намеренно передал свой секретный ключ подписи третьей стороне, чтобы иметь возможность отказаться от получения сообщения от А ;

2секретный ключ подписи пользователя В был скомпрометирован без его ведома, следовательно, при защите ключа им была допущена небрежность.

Сервис неотказуемости получения дает пользователю А некоторые гарантии того, что пользователь В будет честно придерживаться своего заверенного цифровой подписью сообщения.

Сервис неотказуемости может базироваться только на инфраструктуре открытых ключей, но не на инфраструктуре симметричных ключей. Для связи в среде, где используются симметричные ключи, пользователи А и В должны создавать общий симметричный ключ, то есть разделять общий секрет. Пользователь В создает сообщение, защищает его симметричным ключом и отправляет пользователю А . Так как оба пользователя знают симметричный ключ, пользователь А может создать фальшивое сообщение от имени пользователя В , а пользователь В может отказаться от своих действий, утверждая, что их совершил пользователь А . В PKI пользователь В не имеет такой возможности, так как для подписания сообщения использует секретный ключ, известный только ему.

Сервис неотказуемости связан с главными сервисами PKI, а также с другими дополнительными сервисами, базирующимися на PKI. Сервис неотказуемости обращается к защищенному сервису датирования, чтобы подтвердить, что определенное событие произошло в определенное время или что определенная часть данных существовала до определенной даты. Кроме того, сервис неотказуемости может использовать сервис нотаризации в качестве удобного метода "упаковки" свидетельства в удобный для хранения вид.

Для поддержки сервиса неотказуемости необходим архив данных, где должны защищенно храниться доказательства, которые могут потребоваться для разрешения споров: просроченные сертификаты, старые списки САС, токены меток времени , структуры сертификации данных и другая относящаяся к делу информация. Важно отметить, что во многих PKI недостаточно простого архива данных и может возникнуть необходимость в криптографической защите доказательств. Более того, как только срок действия ключа подписи определенного доказательства истекает и старый ключ заменяется новым, это доказательство повторно подписывается новым ключом. В результате образуется непрерывный "след" ключей, ведущий обратно во времени к дате первоначального создания доказательства. След ключей связан с соответствующим следом сертификатов и датами подписей.

Сервис неотказуемости - наиболее сложный из всех сервисов, базирующихся на PKI, поскольку требует сбора доказательств, подтверждающих действительность события и являющихся убедительными для внешней третьей стороны [44]. Очевидно, что здесь не может быть твердых правил, определяющих, какие доказательства достаточны, как подтвердить, что доказательства не были подделаны или сфабрикованы, каковы гарантии, что было приложено максимум усилий для сбора улик в момент создания доказательств.

Несмотря на достоинства технических реализаций сервиса неотказуемости, при принятии решения в споре вокруг определенного события невозможно обойтись без участия человека. Так, например, установлено, что пользователь В подписал сообщение, отправленное пользователю А , но пользователь В убедительно доказывает, что только через три дня после события подписания он обнаружил, что его ключ был скомпрометирован на две недели раньше этого события. Люди, принимающие решение в споре, должны взвесить криптографические доказательства и заявление пользователя В и вынести решение в пользу А или В . По этой причине некорректно говорить, что PKI позволяет обеспечить неотказуемость, поскольку, если в решении спора участвуют люди, то окончательный вердикт остается за ними. PKI не способна сама по себе обеспечивать полную неотказуемость - обычно окончательное решение принимается человеком на основании оценки доказательств. Однако PKI должна поддерживать этот процесс, обеспечивая необходимые технические доказательства, выполняя аутентификацию источника данных и надежное подтверждение времени подписания или передачи данных.

Управление полномочиями- это общий термин для таких понятий, как авторизация, контроль доступа, управление правами, управление разрешениями, управление возможностями и т.п. В определенной среде для конкретных субъектов или групп субъектов должны быть заданы политики (иногда называемые правилами) или назначены роли субъектов. Политики регламентируют разрешенные и недопустимые действия этих субъектов или групп субъектов. Управление полномочиями - это разработка и применение таких политик с целью обеспечения ежедневной деловой активности (или иной деятельности) организации при поддержке желаемого уровня безопасности.

Важно различать концепции аутентификации и авторизации и понимать их взаимное влияние. Аутентификация устанавливает, кем является субъект, то есть связывает идентичность с субъектом. Авторизация выявляет полномочия данной идентичности. Авторизация не подтверждает, что субъектом, запрашивающим удаленный доступ к сети, является пользователь А ; она просто работает по принципу, что если это - пользователь А , то ему разрешен доступ. Следовательно, аутентификация и авторизация во многих обстоятельствах должны работать вместе. Аутентификация без авторизации может быть полезна, например, для идентификации источника данных. И наоборот, авторизация без аутентификации может использоваться, например, для получения доступа к web-сайту только жителей определенной страны, когда необходимо иметь возможность доказать гражданство, не идентифицируя себя персонально. Однако аутентификация и авторизация часто связаны, потому что полномочия индивида или группы невозможно реализовать, пока не определено, что данный субъект обладает определенной идентичностью, ролью или принадлежит к определенной группе.