Sakaru Pasaule - Ţurnâls par
modernâm komunikâcijâm

  
  


Atpakaď Jaunais numurs Arhîvs Par mums Meklçđana

E-parakstu risinâjumi jeb kâ realizçt politisko gribu

   

Vēlreiz par E-parakstiem jeb kā realizēt politisko gribu

Elektroniskais dokuments uzskatāms par pašrocīgi parakstītu, ja tam ir drošs elektroniskais paraksts (Elektronisko dokumentu likums – II nodaļa, 3. panta 2. punkts).

 

Pirms dažiem mēnešiem zinātāji varēja nosvinēt Elektronisko dokumentu likuma divu gadu jubileju. Politiskā griba tika ietverta likuma rāmjos un divpadsmit vārdi Elektronisko dokumentu likuma II nodaļas 3. panta 2. punktā noteica, ka informācijas tehnoloģijas (IT) vairs nav uzskatāmas tikai par darbarīku, bet ir kļuvušas par juridiskas procedūras komponentu. Tas nozīmē, ka persona (juridiska vai fiziska), kura lieto elektronisko parakstu (drošu elektronisko parakstu), ir atbildīga ne tikai par šo parakstu lietošanas juridiskajiem aspektiem, bet tai jāievēro arī drošības normas, kurām jābūt noteiktām saskaņā ar droša elektroniskā paraksta tehnoloģiskā risinājuma prasībām. Tātad – elektronisko parakstu lietotājam nepieciešamas kaut minimālas zināšanas atbilstošā risinājuma tehnoloģijā, terminoloģijā un uz šo lietotāju attiecināmajās informācijas drošības normās. Pretējā gadījumā – atbildība iestāsies ātrāk nekā apjausma par ko es īsti atbildu.

 

PKI struktūra

Elektronisko parakstu risinājumam ir jānodrošina ne tikai dalībnieku savstarpēja uzticēšanās, bet jāgarantē arī transakcijas drošība. Elektronisko parakstu risinājumos dominē divas sistēmas – PKI (Public Key Infrastructure) un PGP (Pretty Good Privacy). Abās izmanto simetriskos un publisko atslēgu šifrēšanas algoritmus, kā arī sertifikātu standartu X.509 (ITU-T X.509 Recommendation). Tomēr šo sistēmu atšķirības ir ievērojamas, tāpēc PGP galvenokārt izmanto e-pasta sarakstē. Visai pazīstams ir arī atvērto standartu (Open Standard) risinājums OpenPGP, kas, pateicoties zemajām uz tā balstīto risinājumu pašizmaksām, tiek piedāvāts arī komerciālos elektronisko parakstu risinājumu produktos. Droša elektroniskā paraksta risinājumiem vairumā projektu izmanto PKI, it īpaši risinājumos valsts informācijas sistēmām.

PKI arhitektūras modelis ietver divas funkcionālās grupas – PKI lietotāji un PKI pārvaldība (skat. attēlu). PKI lietotāji (vispārējs apzīmējums – gala entītija) ir PKI servisu (elektronisko parakstu) patērētāji. Gala entītija var būt jebkas, kas var tikt identificēts kā publiskās atslēgas sertifikāta objekts – lietojumprogramma, serveris, ugunsmūris, maršrutētājs, viedkarte utt. Digitāls sertifikāts veido asociāciju starp privāto/publisko atslēgu pāri un objektu (vai personu), kuru šis pāris identificē. Citiem vārdiem – digitāls sertifikāts ir elektronisks personu vai objektu apliecinošs dokuments. To pārvaldīšanas funkcijas realizējas sertifikātu administrētāja (Certification AuthorityCA), reģistrēšanas administrētāja (Registration AuthorityRA) un sertifikātu anulēšanas sarakstu (Certificate Revocation ListCRL) izsniedzēja moduļos. Sertifikātu administrētājs ir PKI risinājuma pamats. Tas ir vienīgais modulis, kas izsniedz digitālos sertifikātus un tos elektroniski paraksta. Šis modulis ir visas PKI sistēmas uzticamības līmeņa galvenais noteicējs. CA var tikt realizētas arī PKI lietotāju reģistrēšanas funkcijas, bet parasti to veic reģistrēšanas administrētāja modulis. Šis modulis nodrošina gala entītijas identitātes verificēšanu, tai reģistrējoties PKI sistēmā. Turklāt RA var veikt arī virkni citu funkciju:

Ÿ               apstiprināt sertifikāta pieprasītāja atribūtus;

Ÿ               pārliecināties, ka privātās atslēgas turētājs ir reģistrēts;

Ÿ               ģenerēt publiskos/privātos atslēgu pārus;

Ÿ               veikt starpnieka funkcijas starp CA (vai vairākiem CA) un gala entītijām (piem., brīdināšana par atslēgu uzticamības zaudēšanu, atslēgu atjaunošanas pieprasīšana u.c.);

Ÿ               reģistrācijai uzrādīto publisko atslēgu parametru apstiprināšana utt.

Viens no RA moduļu izvēršanas mērķiem ir samazināt PKI risinājuma izmaksas, otrs – atslogot CA (būtisks lielās sistēmās) un palielināt CA drošību, ļaujot tam darboties ārlīnijas (off-line) režīmā.

 

Var būt arī citi iemesli RA moduļu izvietošanai, piemēram, organizācija vai uzņēmums, nevēloties uzturēt CA servisus, var saglabāt kontroli pār PKI lietotāju reģistrācijas procesiem.

Elektronisko parakstu risinājuma droša funkcionēšana nav iedomājama bez publisko atslēgu sertifikātu (digitālo sertifikātu) aprites uzturēšanas. PKI lietotājiem jābūt iespējai pārliecināties par atslēgu pāra, kas izmantots sūtījuma parakstīšanai, piederību un uzticamību. Lai to nodrošinātu, gala entītijas izmanto sertifikātu un sertifikātu anulēšanas sarakstu glabātavas. Tās būtībā ir datubāzes vai direktorijas, kas tiek īpaši aizsargātas no nesankcionētām darbībām. Sertifikātu un sertifikātu anulēšanas sarakstu glabātavas drošos PKI risinājumos visbiežāk tiek realizētas, izmantojot X.500 balstītus direktoriju servisus, uzturot klientu piekļuvi ar protokolu LDAP (Lightweight Directory Access Protocol).

 

Sertifikātu pārvaldība

Elektronisko parakstu risinājumos digitālo sertifikātu pārvaldībā var nodalīt šādus sertifikātu pārvaldības galvenos posmus:

Ÿ               reģistrēšana[D.R.1] ,

Ÿ               inicializēšana,

Ÿ               sertificēšana,

Ÿ               atslēgu pāru atjaunošana,

Ÿ               atslēgu pāru uzlabošana,

Ÿ               anulēšanas pieprasīšana,

Ÿ               kombinēta sertificēšana.

Katram šim posmam ir stingri noteiktas funkcijas, ko nosacīti var sadalīt šādās grupās.

1.            PKI lietotāju ieviešana

Ÿ               Reģistrēšana. Pirmais solis PKI lietotāju ieviešanai elektronisko parakstu sistēmā. Šajā procesā tiek reģistrēti parametri, kas ļauj identificēt PKI lietotāju (gala entītiju). Šo procesu var veikt gan tiešsaistes, gan ārlīnijas režīmā.

Ÿ               Inicializēšana. Process, kas seko pēc PKI lietotāju reģistrācijas. Tajā gala entītija tiek asociēta ar tai atbilstošiem sertifikātu uzturēšanas noteikumiem, kā arī tiek ģenerēts gala entītijai piederīgs, unikāls publiskais/privātais atslēgu pāris.

Ÿ               Sertificēšana. Process, kas noslēdz PKI lietotāju ieviešanu sistēmā. CA ievieš gala entītijas publiskās atslēgas sertifikātu, kas tiek ģenerēts vienu reizi un nodots uzglabāšanai sertifikātu glabātavā.

2.            Atslēgu pāru apkalpošana (uzturēšana)

Ÿ               Atslēgu pāru atjaunošana. Process nodrošina gala entītijas privāto/publisko atslēgu pāra atjaunošanu no uzticamas rezerves kopijas (parasti tiek uzglabātas CA). Atslēgu pāra atjaunošanu izmanto, ja gala entītijas rīcībā esošās atslēgas bojājuma dēļ nav iespējams piekļūt elektroniski parakstītai (šifrētai) informācijai.

Ÿ               Atslēgu pāru uzlabošana. Publiskās atslēgas sertifikātiem ir noteikts derīguma termiņš. Pēc tā beigām atslēgu pāris un uz tiem attiecināmais sertifikāts ir uzskatāms par nederīgiem (saskaņā ar Elektronisko dokumentu likumu, elektroniskais paraksts nevar tikt klasificēts kā drošs elektroniskais paraksts). Atslēgu pāru uzlabošanas process paredz jauna atslēgu pāra ģenerēšanu un atbilstoša jauna digitālā sertifikāta ieviešanu. Šo procesu var izmantot arī atslēgu pāra anulēšanas gadījumā.

Ÿ               Anulēšanas pieprasīšana. Digitālo sertifikātu var anulēt, beidzoties tā derīguma termiņam, mainoties tā īpašniekam, kompromitējot privātās atslēgas drošību utt. Anulēšanas pieprasīšanas process nodrošina gala entītijai (vai reģistrēšanas administrētājam) iespēju atsaukt izsniegto sertifikātu. Anulētie sertifikāti tiek publicēti sertifikātu anulēšanas sarakstā (anulēšanas un publicēšanas kārtību nosaka standarts X.509). Sarakstu publicēšanas regularitāti nosaka PKI pakalpojumu sniedzēja iekšējie noteikumi.

Ÿ               Kombinēta sertificēšana. Process nodrošina, ka viena CA uzticamība tiek apliecināta ar otra CA izsniegtu digitālu sertifikātu (sertifikāts, kas satur CA publisko atslēgu, kuru digitāli parakstījis otrs CA).

Šis nav pilnīgs digitālo sertifikātu pārvaldības funkciju uzskaitījums. Tās var paplašināt atkarībā no elektronisko parakstu lietošanas un PKI sistēmas specifikas.

 

Ievads ieviešanai

Elektronisko dokumentu likums nosaka: - Elektronisko dokumentu uzskata par pašrocīgi parakstītu arī tajos gadījumos, kad tam ir elektroniskais paraksts un puses par elektroniskā dokumenta parakstīšanu ar elektronisko parakstu ir vienojušās rakstveidā. Šādā gadījumā rakstveida vienošanās noformējama un parakstāma uz papīra vai elektroniski ar drošu elektronisko parakstu.- Ļoti daiļrunīgs likuma pants, kas ietver teju vai bezgalīgu politisko gribu sākt dokumentu elektronisko parakstīšanu pēc iespējas ātrāk, vienlaikus parādot, cik tālu likumdevējs atrodas no personas, kurai šis likums būs jāievēro. Protams, nevar izslēgt citu skaidrojumu [D.R.2] faktam, ka likums paredz iespēju pusēm vienoties rakstveidā, izmantojot drošu elektronisko parakstu, par to, ka dokumentu parakstīšanai var izmantot elektronisko parakstu, kas nav uzskatāms par drošu elektronisko parakstu. Iespējams, ka ir paredzēta kāda specifiska juridiska procedūra, kas ļaus pusēm risināt konfliktu situācijas bez militāriem līdzekļiem. Bet labāk, pirms sākt elektroniskā paraksta ieviešanu, ir saprast, ka runa nav tikai par tehnoloģiju, bet arī par cilvēkiem, viņu tiesībām un it īpaši – konflikta situāciju iespējamiem risinājumiem.

 

Dainis RUMENTS

IS drošības konsultants,

SIA E-protect


 [D.R.1]Mana kļūda – labāk būtu “reģistrēšana” (saskanīgāk ar pārējiem)

 [D.R.2]Mana kļūda – vajag “skaidrojumu”

 
Design and programming by Anton Alexandrov - 2001