Доклады, выступления, видео и электронные публикации
Аспекты, связанные с оценкой целесообразности участия государств в системе PKD ИКАО
C.С. Лыдин, ЗАО «ОКБ САПР»,
г. Пенза, sansara@penza.okbsapr.ru
1 Введение
Построение глобальной системы подтверждения подлинности машиносчитываемых проездных документов (МСПД) Международной организации гражданской авиации (ИКАО) (в частности, электронных паспортов) основано на централизованном обмене сертификатами инфраструктуры открытых ключей (PKI).
К обмену сертификатами PKI и списками отозванных сертификатов (Certificate Revocation List, CRL) предъявляются требования удобства и своевременности. Для достижения этих целей, а также для обеспечения глобальной совместимости систем проверки МСПД, на заседании Совета ИКАО 31 мая 2005 года было принято решение о создании на принципе возмещения затрат и под эгидой ИКАО Директории открытых ключей (Public Key Directory, PKD).
PKD ИКАО представляет собой централизованную базу данных, функционирующую в качестве хранилища, а также системы для распространения:
– сертификатов подписывающей стороны (Document Signer Certificate, CDS), необходимых для проверки подлинности объекта защиты МСПД (Document Security Object, SOD);
– сертификатов органа сертификации подписывающего государства (CCSCA), необходимых для проверки подлинности CDS;
– списка сертификатов органа сертификации подписывающего государства (CSCA Master List);
– списков отозванных сертификатов, выпускаемых участниками (CRL).
Для реализации основных целей в рамках PKD предусмотрено наличие следующих ролей:
– Оператор;
– Участник;
– Пользователь.
Оператором является субъект, с которым заключен контакт на учреждение и управление PKD ИКАО в соответствии с системной документацией и спецификациями PKI, установленными в последней редакции документа ИКАО Doc 9303.
Участником PKD может стать любая страна-участница договора с ИКАО или любой другой субъект, выпускающий или намеревающийся выпускать электронные МСПД.
Пользователями PKD являются те страны-участницы договора с ИКАО, территории, организации, коммерческие структуры или физические лица, которые не являются участниками PKD ИКАО, но которым при этом предоставляется возможность осуществлять доступ и считывать информацию из Директории для чтения PKD ИКАО.
2 Цель работы
Предлагается на основе анализа данных из открытых источников (официальные документы ИКАО, материалы об известных уязвимостях, угрозах и их реализациях относительно МСПД, законодательные акты и пр.) оценить целесообразность участия государств в PKD ИКАО, т. е. сопоставить положительные и отрицательные стороны участия в PKD ИКАО.
Следует отметить, что проведение подобной оценки неизбежно затрагивает ряд аспектов: технический, политический, финансовый и т. д. Очевидно, степень адекватности оценки зависит от уровня доступности информации, связанной с каждым из этих аспектов, и варьируется от полностью обоснованного утверждения до предположения.
3 Ситуация в предметной области
Ниже приведены краткие сведения, связанные с функционированием системы PKD ИКАО.
На текущий момент в PKD участвуют 11 государств: Австралия, Канада, Китай, Франция, Германия, Япония, Новая Зеландия, Сингапур, Республика Корея, Великобритания, США.
Управление PKD ИКАО осуществляется сингапурской компанией Netrust, победившей в конкурсе среди восьми претендентов.
PKD ИКАО является основным каналом распространения CDS и вторичным каналом для распространения CRL. Рекомендуется, чтобы хранение сертификата CDS также осуществлялось в чипе МСПД.
Приоритетным способом распространения CRL и CCSCA признается межгосударственный обмен. При этом в официальных документах ИКАО отмечается, что обычно между странами уже существуют каналы обмена подобного рода информацией, и рекомендуется использовать такие каналы в качестве основных. Государствам, не имеющим контактов с другими участниками системы PKD, рекомендуется установить их в кратчайшие сроки.
Взаимодействие с PKD осуществляется с использованием SSL с аутентификацией на сервере. Открытые ключи, передаваемые в директорию странами-участниками, должны быть представлены в формате сертификатов X.509, подписанных при помощи CCSCA. Обновление информации должно производиться в соответствии с протоколом LDAP. После проверки подписи сертификатов CDS, они становятся доступными для считывания.
Система PKD создана на основе службы распределенного каталога сети X.500. Ожидается, что размер директории составит 15-20 МБ. Так как размер директории относительно мал, заинтересованным сторонам рекомендуется загружать все ее содержимое каждый день. PKD ИКАО является полностью открытым Интернет-ресурсом, предоставляющим доступ для чтения всем желающим.
4 Преимущества, связанные с участием в PKD ИКАО
В официальных документах ИКАО декларируется, что использование PKD в качестве механизма централизованного хранения и рассылки сертификатов позволит:
1) минимизировать объем циркулирующих в системе сертификатов;
2) получить уверенность в том, что государства будут своевременно получать все необходимые обновления (CDS и CRL);
3) достичь глобальной совместимости систем проверки электронных МСПД;
4) снизить вероятность подделки МСПД. В материалах об известных уязвимостях электронных МСПД отмечается, что существует техническая возможность прописывать в чип паспорта цифровую подпись, которая при проверке будет приниматься в качестве подлинной. Использование PKD ИКАО снижает возможность проведения подобной атаки.
5 Издержки, связанные с участием в PKD ИКАО
Представляется, что участие в PKD ИКАО сопряжено со следующими издержками:
1) надежность системы проверки МСПД государства становится зависимой от надежности централизованного хранилища PKD, управляемого сторонней организацией. В случае несанкционированного обновления информации государства в PKD (например, связанного с компрометацией пароля доступа государства к базе данных, нарушениями при управлении системой PKD со стороны Оператора, атаками на канал передачи данных и т. д.) у злоумышленника может появиться возможность подделки МСПД государства. Также это может привести к затруднению передвижений граждан государства;
2) поскольку доступ к PKD ИКАО является открытым через сеть Интернет, возможны сетевые атаки с использованием уязвимостей в системе защиты или атаки, направленные на «отказ в обслуживании» (DoS). Сетевые атаки могут затруднить или нарушить функционирование систем проверки МСПД государства;
3) для защиты персональных данных граждан нормативные акты РФ требуют использования сертифицированного оборудования и настоятельно рекомендуют использование российских криптографических алгоритмов. В то же время, участие в PKD ИКАО подразумевает использование для взаимодействия с хранилищем PKD протоколов LDAP и SSL, что влечет за собой сложности при соблюдении соответствия положениям нормативных актов РФ;
4) в рамках двустороннего взаимодействия между государствами отказ от предоставления сертификата подписывающего государства CCSCA может рассматриваться в качестве одной из мер воздействия при возникновении политических противоречий и разрыве дипломатических отношений, а также в качестве способа выражения недоверия системе проверки принимающего государства. При условии участия государств в PKD ИКАО эта возможность практически нивелируется. В этой ситуации, вероятно, было бы актуальным наличие возможности адресного предоставления сертификатов государства;
5) участие в PKD сопряжено с дополнительными финансовыми затратами. Они складываются из единовременной выплаты при вступлении (на настоящий момент 56000 $) и ежегодных взносов (в текущей редакции открытых официальных документов упоминания о размере этих взносов не обнаружено. В предыдущих редакциях отмечалось, что размер взносов зависит от количества паспортов, выпускаемых государством, и фигурировали суммы от 20000 $ до 100000 $).
6 Заключение
PKD ИКАО, по-видимому, не является незаменимым механизмом.
Несмотря на стремление к достижению возможности централизованной проверки МСПД, в спецификациях PKD декларируется необходимость наличия двусторонних соглашений между государствами. Так, подразумевается, что сертификаты CCSCA должны распространяться с использованием двусторонних дипломатических каналов между государствами. Кроме того, устанавливается, что PKD является лишь вторичным каналом для рассылки CRL (возможно, по причине того, что в случае чрезвычайных ситуаций рассылка с использованием двусторонних каналов будет выполнена быстрее).
С учетом того, что сертификаты CDS рекомендуется хранить в чипе МСПД и что предотвращение клонирования паспортов (см. раздел 4, п. 4)) может быть достигнуто без использования системы PKD (например, посредством установления обязательности процедуры активной аутентификации), последняя во многом предстает в качестве механизма, дублирующего существующую функциональность. При этом, как показано в разделе 5, участие государства в PKD ИКАО сопряжено с рядом издержек. Об отсутствии настоятельной необходимости в PKD свидетельствует и тот факт, что на настоящий момент в этой системе участвует сравнительно небольшое количество стран.
Окончательный ответ на вопрос о целесообразности участия государства в системе PKD ИКАО может быть дан только после всеобъемлющего анализа всех соответствующих аспектов.
Предполагаемые дальнейшие направления работы:
– изучение опыта других государств: выяснение причин, по которым они воздерживаются от участия в PKD ИКАО;
– исследование спецификаций PKD и механизмов защиты электронных МСПД с целью дальнейшего уточнения степени потребности в участии в PKD ИКАО;
– изучение проблемы совместимости PKD с законодательством РФ.
Автор: Лыдин С. С.
Дата публикации: 01.01.2009
Библиографическая ссылка: Лыдин С. С. Аспекты, связанные с оценкой целесообразности участия государств в системе PKD ИКАО // Комплексная защита информации. Материалы XIV международной конференции (19–22 мая 2009 года). Мн., 2009. С. 154–156.
Метки документа:
другое
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.