Описание политики PKI

Специальные разделы

Изложение специальных разделов начинается с раздела Идентификация и аутентификация , который описывает процедуры аутентификации заявителя на сертификат, используемые удостоверяющим или регистрационным центром перед выпуском сертификата. Он также регламентирует порядок аутентификации лиц, обращающихся с запросом об аннулировании или повторном выпуске ключа, а также практику использования имен, включая признание собственности имени и разрешение споров об имени. Этот раздел включает следующие подразделы:

• начальная регистрация;
• обычное обновление ключа;
• повторный выпуск ключа после аннулирования;
• запрос об аннулировании ключа.

Подраздел Начальная регистрация содержит положения, относящиеся к процедурам идентификации и аутентификации во время регистрации субъекта или выпуска сертификата:

1. типы имен, присваиваемых субъекту;
2. регулирование многозначности имен;
3. правила интерпретации различных форм имени;
4. регулирование уникальности имен;
5. признание, аутентификация и роль торговых марок;
6. регулирование обязанности субъекта доказывать владение секретным ключом, составляющим пару с зарегистрированным открытым ключом;
7. требования аутентификации организационной принадлежности субъекта (УЦ, РЦ или конечный субъект);
8. требования аутентификации лица, действующего от имени субъекта, в том числе:
   • необходимое количество составляющих идентификации;
   • порядок ратификации удостоверяющим или регистрационным центром составляющих идентификации;
   • условия персонального представления физического лица при аутентификации в удостоверяющем или регистрационном центре;
   • условия аутентификации юридического лица.

Подразделы Обычное обновление ключа, Повторный выпуск ключа после аннулирования и Запрос об аннулировании описывают процедуры идентификации и аутентификации каждого субъекта (УЦ, РЦ и конечный субъект) при обычном обновлении ключа, повторном выпуске сертификата и обработке запроса об аннулировании сертификата.

Структура раздела Операционные требования представлена на рис. 14.2. В каждом подразделе формулируются требования ко всем субъектам PKI по различным видам операционной активности.

Подраздел Запрос о выдаче сертификата определяет требования к процедуре регистрации субъекта и запросу о выдаче сертификата, подраздел Выпуск сертификата - к выпуску сертификата и процедуре уведомления об этом субъекта, подраздел Принятие сертификата - к процедурам принятия субъектом выпускаемого сертификата и последующей публикации сертификата.

Рис. 14.2. Структура раздела "Операционные требования"

Подраздел Прекращение деятельности УЦ описывает порядок прекращения деятельности удостоверяющего и регистрационного центров и уведомления об этом всех заинтересованных сторон.

Подраздел Приостановление и аннулирование сертификата определяет:

1. условия аннулирования сертификата;
2. круг лиц, имеющих право подавать запрос об аннулировании сертификата субъекта;
3. процедуры формирования запроса об аннулировании сертификата;
4. условия приостановления действия сертификата;
5. круг лиц, имеющих право подавать запрос о приостановлении сертификата субъекта;
6. процедуры формирования запроса о приостановлении сертификата;
7. срок приостановления;
8. частоту выпуска САС;
9. требования к доверяющим сторонам по проверке САС;
10. другие формы объявления об аннулировании сертификата;
11. требования к доверяющим сторонам по проверке других форм объявления об аннулировании сертификата;
12. любые варианты перечисленных выше условий, если приостановление или аннулирование вызваны компрометацией секретного ключа.

Подраздел Контроль безопасности используется для описания систем контроля и регистрации событий, обеспечивающих безопасность среды, и включает следующие элементы:

1. типы регистрируемых событий;
2. частота обработки или проверки контрольных журналов;
3. срок хранения контрольных журналов;
4. защита контрольных журналов от модификации и уничтожения; круг лиц, имеющих к ним доступ;
5. процедуры создания резервных копий контрольных журналов;
6. характеристика системы накопления данных контрольного журнала (внутренняя или внешняя по отношению к субъекту);
7. уведомление об акции контроля субъекта, виновного в нарушении;
8. оценки уязвимости.