Инфраструктура Открытого Ключа (часть 7)

Требования выполнения

Данный компонент используется для спецификации требований, накладываемых на действия СА, субъектов САs, RАs или конечных участников в зависимости от различных выполняемых действий.

Данный компонент состоит из следующих подкомпонентов:

1. Применение сертификата - используется для установления требований, относящихся к регистрации субъекта и запроса на выпуск сертификата.
2. Выпуск сертификата - используется для установления требований, относящихся к выпуску сертификата, и уведомления претендента об этом выпуске.
3. Получение сертификата - используется для установления требований, относящихся к получению сертификата и к последующей его публикации.
4. Приостановка и отмена сертификата.
   • Условия, при которых сертификат может быть отменен.
   • Кто может запросить отмену сертификата участника.
   • Процедуры, используемые для запроса отмены сертификата.
   • Допустимый период задержки запроса отмены для субъекта.
   • Условия, при которых сертификат может быть приостановлен.
   • Кто может запросить приостановку сертификата.
   • Процедуры запроса приостановки сертификата.
   • Как долго может продолжаться приостановка.
   • Если используется механизм CRL, то частота выпуска.
   • Требования доверяющим группам к проверке CRLs.
   • Возможность on-line проверки отмены/статуса.
   • Требования к доверяющим группам выполнять on-line проверки отмены/статуса.
   • Другие доступные формы объявления об отмене.
   • Требования для доверяющих групп проверять другие формы объявлений об отмене.
   • Любые варианты приведенных выше условий, когда приостановка или отмена являются результатом компрометации ключа (в противовес другим причинам приостановки или отмены).
5. Процедуры аудита безопасности.
   • Типы записываемых событий.
   • Частота, с которой записи аудита сохраняются и обрабатываются.
   • Срок хранения записей аудита.
   • Процедура выполнения аудита:
     • Кто может просматривать записи аудита.
     • Защита от модификации записей аудита.
     • Защита от удаления записей аудита.
   • Процедуры back up записей аудита.
   • Является система анализа аудита для участника внутренней или внешней.
   • Оповещается ли субъект, который вызвал событие аудита, о действиях аудита.
   • Предполагаемые уязвимости.
6. Архивация записей.
   • Типы зарегистрированных событий.
   • Период хранения архива.
   • Защита архива:
     • Кто может просматривать архив.
     • Защита от модификации архива.
     • Защита от удаления архива.
   • Процедуры back up архива.
   • Требования к отметкам времени записей.
   • Система хранения архива является внутренней или внешней.
   • Процедуры для получения и проверки архивной информации.
7. Изменение ключа.
8. Компрометация и восстановление.
   • Используемые процедуры восстановления, если вычислительные ресурсы, ПО или данные испорчены наверняка или предположительно. Эти процедуры описывают, как переустановить безопасное окружение, в котором отменены сертификаты или ключ участника, как предоставить новый открытый ключ участника пользователям и как субъекты сертифицируются повторно.
   • Процедуры восстановления, которые используются, если открытый ключ участника отменен. Эти процедуры описывают, как переустановить безопасное окружение, как предоставить новый открытый ключ участника пользователям и как субъекты сертифицируются повторно.
   • Процедуры восстановления, использующиеся в том случае, если открытый ключ скомпрометирован. Эти процедуры описывают, как переустановить безопасное окружение, как предоставить новый открытый ключ участника пользователям и как субъекты сертифицируются повторно.
   • Процедуры, СА, используемые для обеспечения безопасности при восстановлении безопасного окружения либо на исходном сайте, либо на удаленном сайте. Например, процедуры защиты от кражи секретных материалов.
9. Завершение функционирования СА.

В каждом подкомпоненте может потребоваться отдельное рассмотрение для выпускающего СА, репозитория, субъекта САs, RAs и конечных участников.

Создание и инсталляция пары ключей

Создание и инсталляция пары ключей должна рассматриваться для САs, RAs и конечных участников. Для каждого из этих типов участников необходимо получить ответы на следующие вопросы:

1. Кто создает пару открытый-закрытый ключи участника?
2. Каким образом закрытый ключ безопасно доставляется участнику?
3. Как открытый ключ участника безопасно доставляется выпускающему сертификат?
4. Если участник является СА (выпускающий или субъект), то как открытый ключ участника безопасно доставляется пользователям?
5. Каковы размеры ключей?
6. Кто создает параметры открытого ключа?
7. Качество параметров проверяется при создании ключа?
8. Создание ключа выполняется аппаратно или программно?
9. Для каких целей может использоваться ключ или для каких целей должно быть ограничено применение ключа?

Защита закрытого ключа

Необходимо рассмотреть требования для защиты закрытого ключа для выпускающего СА, репозиториев, субъектов САs, RAs и субъектов конечных участников. Для каждого из этих типов участников нужно ответить на следующие вопросы:

1. Какие стандарты, если они есть, требуются для модулей, используемых для создания ключей? Если так, то каким должен быть уровень модуля?
2. Находятся ли закрытые ключи под управлением нескольких человек?
3. Является ли закрытый ключ распределенным? Если да, то кто является распределенными агентами, которые формируют распределенные ключи, и каково безопасное управление распределенных систем?
4. Выполняется ли back up для закрытого ключа. Если да, то кто является back up агентом, который формирует back up ключ, и каково безопасное управление back up систем?
5. Выполняется ли архивация закрытого ключа? Если да, то кто является агентом архивации, какая форма архивации ключа выполняется и каково безопасное управление системой архивации?
6. Кто вводит закрытый ключ в криптографический модуль? В какой форме? Как закрытый ключ хранится в модуле?
7. Кто может активизировать (использовать) закрытый ключ? Какие действия должны быть выполнены для активации закрытого ключа? После того как ключ активирован, он активирован на неопределенный срок, активирован для одного раза или активирован на определенный период времени?
8. Кто может деактивировать закрытый ключ и как, автоматически или по истечении времени?
9. Кто может уничтожить закрытый ключ?

Другие аспекты управления ключом

Следует рассмотреть и другие аспекты управления ключом для выпускающего СА, репозиториев, субъектов САs, RAs и субъектов конечных участников.

Для каждого из этих типов участников должны быть получены ответы на следующие вопросы:

1. Архивируется ли открытый ключ? Если да, то кто является агентом архивации и какие средства управления безопасностью предусмотрены для системы архивации? Система архивации должна обеспечивать контроль целостности, отличный от цифровых подписей, т.к. период архивации может быть больше, чем период криптоанализа для ключа, и архив требует дополнительной защиты, которая не обеспечивается цифровыми подписями.
2. Каковы периоды использования или время жизни архива для открытого и закрытого ключа, соответственно?

Данные активации

Данные активации указывают на значения данных, отличные от ключей, которые требуются для функционирования криптографических модулей и которые должны быть защищены. Считается, что защита данных активации потенциально необходима для выпускающего СА, субъекта САs, RАs и конечных участников. Подобное рассмотрение потенциально должно быть адресовано всему жизненному циклу данных активации, от создания до архивации и уничтожения. Для каждого из типов участников выше перечислены все вопросы, на которые необходимо ответить относительно данных активации, а не относительно ключей.

Управление безопасностью компьютера

Данный подкомпонент используется для описания управления безопасностью компьютера, такого как: использование базового понятия доверенных вычислений, дискреционное управление доступом, метки, мандатное управление доступом, переиспользование объектов, аудит, идентификация и аутентификация, доверенный путь, тестирование безопасности и тестирование проникновения. Может также рассматриваться гарантирование продукта.

Для компьютерных систем может потребоваться оценка безопасности компьютера. Оценка может быть основана, например, на различных используемых критериях (Common Criteria - СС). Данный подкомпонент может быть также адресован требованиям для анализа оценки продукта, тестирования, профилирования, сертификации продукта и/или аккредитации продукта в соответствии с выполняемой деятельностью.

Управление безопасностью жизненного цикла

Данный подкомпонент адресован контролю за разработкой системы и контролю управления безопасностью.

Контроль разработки системы включает безопасность окружения разработки, безопасность персонала разработки, безопасность управления конфигурацией при сопровождении продукта, методологию разработки ПО, модульность, многоуровневость, использование надежного проектирования и технологий реализации.

Контроль управления безопасностью включает выполнение средств и процедур, гарантирующих, что функциональные системы и сети остаются безопасно сконфигурированными. Эти средства и процедуры включают проверку целостности ПО и аппаратуры для гарантии их безопасного функционирования.

Данный компонент также может быть адресован оценке безопасности жизненного цикла, основанного на методологии разработки доверенного ПО (TSDM) уровня IV и V и независимого аудита безопасности жизненного цикла.

Управление криптографическим модулем

Данный подкомпонент адресован следующим аспектам криптографического модуля: идентификация границы криптографического модуля, ввод/вывод, роли и сервисы, машина конечных состояний, физическая безопасность, безопасность ПО, безопасность системы функционирования, согласованность алгоритма, электромагнитная совместимость и самотестируемость.