E-parakstu risinâjumi jeb kâ realizçt politisko gribu
Vēlreiz par E-parakstiem jeb kā realizēt politisko gribu
Elektroniskais
dokuments uzskatāms par pašrocīgi parakstītu, ja tam ir drošs
elektroniskais paraksts (Elektronisko dokumentu likums – II nodaļa, 3. panta
2. punkts).
Pirms
dažiem mēnešiem zinātāji varēja nosvinēt Elektronisko
dokumentu likuma divu gadu jubileju. Politiskā griba tika ietverta
likuma rāmjos un divpadsmit vārdi Elektronisko dokumentu likuma II
nodaļas 3. panta 2. punktā noteica, ka informācijas
tehnoloģijas (IT) vairs nav uzskatāmas tikai par darbarīku, bet
ir kļuvušas par juridiskas procedūras komponentu. Tas
nozīmē, ka persona (juridiska vai fiziska), kura lieto elektronisko
parakstu (drošu elektronisko parakstu), ir atbildīga ne tikai par šo
parakstu lietošanas juridiskajiem aspektiem, bet tai jāievēro
arī drošības normas, kurām jābūt noteiktām
saskaņā ar droša elektroniskā paraksta tehnoloģiskā
risinājuma prasībām. Tātad – elektronisko parakstu lietotājam
nepieciešamas kaut minimālas zināšanas atbilstošā
risinājuma tehnoloģijā, terminoloģijā un uz šo
lietotāju attiecināmajās informācijas drošības
normās. Pretējā gadījumā – atbildība
iestāsies ātrāk nekā apjausma par ko es īsti
atbildu.
PKI struktūra
Elektronisko
parakstu risinājumam ir jānodrošina ne tikai dalībnieku
savstarpēja uzticēšanās, bet jāgarantē arī
transakcijas drošība. Elektronisko parakstu risinājumos dominē
divas sistēmas – PKI (Public Key Infrastructure) un PGP
(Pretty Good Privacy). Abās izmanto simetriskos un publisko
atslēgu šifrēšanas algoritmus, kā arī sertifikātu standartu
X.509 (ITU-T X.509 Recommendation). Tomēr šo sistēmu
atšķirības ir ievērojamas, tāpēc PGP
galvenokārt izmanto e-pasta sarakstē. Visai pazīstams ir
arī atvērto standartu (Open Standard) risinājums OpenPGP,
kas, pateicoties zemajām uz tā balstīto risinājumu
pašizmaksām, tiek piedāvāts arī komerciālos
elektronisko parakstu risinājumu produktos. Droša elektroniskā
paraksta risinājumiem vairumā projektu izmanto PKI, it
īpaši risinājumos valsts informācijas sistēmām.
PKI arhitektūras modelis
ietver divas funkcionālās grupas – PKI lietotāji
un PKI pārvaldība (skat. attēlu). PKI
lietotāji (vispārējs apzīmējums – gala entītija)
ir PKI servisu (elektronisko parakstu) patērētāji. Gala
entītija var būt jebkas, kas var tikt identificēts kā
publiskās atslēgas sertifikāta objekts – lietojumprogramma,
serveris, ugunsmūris, maršrutētājs, viedkarte utt. Digitāls
sertifikāts veido asociāciju starp privāto/publisko atslēgu
pāri un objektu (vai personu), kuru šis pāris identificē. Citiem
vārdiem – digitāls sertifikāts ir elektronisks personu vai
objektu apliecinošs dokuments. To pārvaldīšanas funkcijas
realizējas sertifikātu administrētāja (Certification
Authority – CA), reģistrēšanas administrētāja (Registration
Authority – RA) un sertifikātu anulēšanas sarakstu (Certificate
Revocation List – CRL) izsniedzēja moduļos.
Sertifikātu administrētājs ir PKI risinājuma pamats.
Tas ir vienīgais modulis, kas izsniedz digitālos sertifikātus un
tos elektroniski paraksta. Šis modulis ir visas PKI sistēmas
uzticamības līmeņa galvenais noteicējs. CA var tikt
realizētas arī PKI lietotāju reģistrēšanas
funkcijas, bet parasti to veic reģistrēšanas administrētāja
modulis. Šis modulis nodrošina gala entītijas identitātes
verificēšanu, tai reģistrējoties PKI sistēmā.
Turklāt RA var veikt arī virkni citu funkciju:
apstiprināt
sertifikāta pieprasītāja atribūtus;
pārliecināties,
ka privātās atslēgas turētājs ir reģistrēts;
ģenerēt
publiskos/privātos atslēgu pārus;
veikt
starpnieka funkcijas starp CA (vai vairākiem CA) un gala
entītijām (piem., brīdināšana par atslēgu
uzticamības zaudēšanu, atslēgu atjaunošanas pieprasīšana
u.c.);
reģistrācijai
uzrādīto publisko atslēgu parametru apstiprināšana utt.
Viens
no RA moduļu izvēršanas mērķiem ir samazināt PKI
risinājuma izmaksas, otrs – atslogot CA (būtisks lielās
sistēmās) un palielināt CA drošību, ļaujot tam
darboties ārlīnijas (off-line) režīmā.
Var
būt arī citi iemesli RA moduļu izvietošanai,
piemēram, organizācija vai uzņēmums, nevēloties
uzturēt CA servisus, var saglabāt kontroli pār PKI
lietotāju reģistrācijas procesiem.
Elektronisko
parakstu risinājuma droša funkcionēšana nav iedomājama bez
publisko atslēgu sertifikātu (digitālo sertifikātu) aprites
uzturēšanas. PKI lietotājiem jābūt iespējai
pārliecināties par atslēgu pāra, kas izmantots
sūtījuma parakstīšanai, piederību un uzticamību. Lai
to nodrošinātu, gala entītijas izmanto sertifikātu un
sertifikātu anulēšanas sarakstu glabātavas. Tās
būtībā ir datubāzes vai direktorijas, kas tiek īpaši
aizsargātas no nesankcionētām darbībām.
Sertifikātu un sertifikātu anulēšanas sarakstu glabātavas
drošos PKI risinājumos visbiežāk tiek realizētas,
izmantojot X.500 balstītus direktoriju servisus, uzturot klientu
piekļuvi ar protokolu LDAP (Lightweight Directory Access
Protocol).
Sertifikātu
pārvaldība
Elektronisko
parakstu risinājumos digitālo sertifikātu
pārvaldībā var nodalīt šādus sertifikātu
pārvaldības galvenos posmus:
inicializēšana,
sertificēšana,
atslēgu
pāru atjaunošana,
atslēgu
pāru uzlabošana,
anulēšanas
pieprasīšana,
kombinēta
sertificēšana.
Katram
šim posmam ir stingri noteiktas funkcijas, ko nosacīti var sadalīt
šādās grupās.
1.
PKI lietotāju ieviešana
Reģistrēšana. Pirmais solis PKI
lietotāju ieviešanai elektronisko parakstu sistēmā. Šajā
procesā tiek reģistrēti parametri, kas ļauj
identificēt PKI lietotāju (gala entītiju). Šo procesu var
veikt gan tiešsaistes, gan ārlīnijas režīmā.
Inicializēšana. Process, kas seko
pēc PKI lietotāju reģistrācijas. Tajā gala
entītija tiek asociēta ar tai atbilstošiem sertifikātu
uzturēšanas noteikumiem, kā arī tiek ģenerēts gala
entītijai piederīgs, unikāls publiskais/privātais
atslēgu pāris.
Sertificēšana. Process, kas
noslēdz PKI lietotāju ieviešanu sistēmā. CA
ievieš gala entītijas publiskās atslēgas sertifikātu, kas
tiek ģenerēts vienu reizi un nodots uzglabāšanai
sertifikātu glabātavā.
2.
Atslēgu
pāru apkalpošana (uzturēšana)
Atslēgu
pāru atjaunošana. Process nodrošina gala entītijas
privāto/publisko atslēgu pāra atjaunošanu no uzticamas rezerves
kopijas (parasti tiek uzglabātas CA). Atslēgu pāra
atjaunošanu izmanto, ja gala entītijas rīcībā esošās
atslēgas bojājuma dēļ nav iespējams piekļūt
elektroniski parakstītai (šifrētai) informācijai.
Atslēgu
pāru uzlabošana. Publiskās atslēgas sertifikātiem ir
noteikts derīguma termiņš. Pēc tā beigām atslēgu
pāris un uz tiem attiecināmais sertifikāts ir uzskatāms par
nederīgiem (saskaņā ar Elektronisko dokumentu likumu,
elektroniskais paraksts nevar tikt klasificēts kā drošs
elektroniskais paraksts). Atslēgu pāru uzlabošanas process paredz
jauna atslēgu pāra ģenerēšanu un atbilstoša jauna
digitālā sertifikāta ieviešanu. Šo procesu var izmantot arī
atslēgu pāra anulēšanas gadījumā.
Anulēšanas
pieprasīšana. Digitālo sertifikātu var anulēt, beidzoties tā
derīguma termiņam, mainoties tā īpašniekam,
kompromitējot privātās atslēgas drošību utt.
Anulēšanas pieprasīšanas process nodrošina gala entītijai (vai
reģistrēšanas administrētājam) iespēju atsaukt
izsniegto sertifikātu. Anulētie sertifikāti tiek publicēti sertifikātu
anulēšanas sarakstā (anulēšanas un publicēšanas
kārtību nosaka standarts X.509). Sarakstu publicēšanas
regularitāti nosaka PKI pakalpojumu sniedzēja iekšējie
noteikumi.
Kombinēta
sertificēšana. Process nodrošina, ka viena CA uzticamība tiek apliecināta
ar otra CA izsniegtu digitālu sertifikātu (sertifikāts,
kas satur CA publisko atslēgu, kuru digitāli parakstījis
otrs CA).
Šis
nav pilnīgs digitālo sertifikātu pārvaldības funkciju
uzskaitījums. Tās var paplašināt atkarībā no
elektronisko parakstu lietošanas un PKI sistēmas specifikas.
Ievads
ieviešanai
Elektronisko
dokumentu likums nosaka: - Elektronisko dokumentu uzskata par pašrocīgi
parakstītu arī tajos gadījumos, kad tam ir elektroniskais
paraksts un puses par elektroniskā dokumenta parakstīšanu ar
elektronisko parakstu ir vienojušās rakstveidā. Šādā
gadījumā rakstveida vienošanās noformējama un
parakstāma uz papīra vai elektroniski ar drošu elektronisko
parakstu.- Ļoti daiļrunīgs likuma pants, kas ietver teju vai
bezgalīgu politisko gribu sākt dokumentu elektronisko
parakstīšanu pēc iespējas ātrāk, vienlaikus
parādot, cik tālu likumdevējs atrodas no personas, kurai šis
likums būs jāievēro. Protams, nevar izslēgt citu skaidrojumu
[D.R.2]faktam, ka likums paredz
iespēju pusēm vienoties rakstveidā, izmantojot drošu
elektronisko parakstu, par to, ka dokumentu parakstīšanai var izmantot
elektronisko parakstu, kas nav uzskatāms par drošu elektronisko
parakstu. Iespējams, ka ir paredzēta kāda specifiska
juridiska procedūra, kas ļaus pusēm risināt konfliktu situācijas
bez militāriem līdzekļiem. Bet labāk, pirms sākt
elektroniskā paraksta ieviešanu, ir saprast, ka runa nav tikai par
tehnoloģiju, bet arī par cilvēkiem, viņu tiesībām
un it īpaši – konflikta situāciju iespējamiem risinājumiem.
Dainis RUMENTS
IS drošības konsultants,
SIA E-protect
Elektroniskais dokuments uzskatāms par pašrocīgi parakstītu, ja tam ir drošs elektroniskais paraksts (Elektronisko dokumentu likums – II nodaļa, 3. panta 2. punkts).
Pirms dažiem mēnešiem zinātāji varēja nosvinēt Elektronisko dokumentu likuma divu gadu jubileju. Politiskā griba tika ietverta likuma rāmjos un divpadsmit vārdi Elektronisko dokumentu likuma II nodaļas 3. panta 2. punktā noteica, ka informācijas tehnoloģijas (IT) vairs nav uzskatāmas tikai par darbarīku, bet ir kļuvušas par juridiskas procedūras komponentu. Tas nozīmē, ka persona (juridiska vai fiziska), kura lieto elektronisko parakstu (drošu elektronisko parakstu), ir atbildīga ne tikai par šo parakstu lietošanas juridiskajiem aspektiem, bet tai jāievēro arī drošības normas, kurām jābūt noteiktām saskaņā ar droša elektroniskā paraksta tehnoloģiskā risinājuma prasībām. Tātad – elektronisko parakstu lietotājam nepieciešamas kaut minimālas zināšanas atbilstošā risinājuma tehnoloģijā, terminoloģijā un uz šo lietotāju attiecināmajās informācijas drošības normās. Pretējā gadījumā – atbildība iestāsies ātrāk nekā apjausma par ko es īsti atbildu.
PKI struktūra
Elektronisko parakstu risinājumam ir jānodrošina ne tikai dalībnieku savstarpēja uzticēšanās, bet jāgarantē arī transakcijas drošība. Elektronisko parakstu risinājumos dominē divas sistēmas – PKI (Public Key Infrastructure) un PGP (Pretty Good Privacy). Abās izmanto simetriskos un publisko atslēgu šifrēšanas algoritmus, kā arī sertifikātu standartu X.509 (ITU-T X.509 Recommendation). Tomēr šo sistēmu atšķirības ir ievērojamas, tāpēc PGP galvenokārt izmanto e-pasta sarakstē. Visai pazīstams ir arī atvērto standartu (Open Standard) risinājums OpenPGP, kas, pateicoties zemajām uz tā balstīto risinājumu pašizmaksām, tiek piedāvāts arī komerciālos elektronisko parakstu risinājumu produktos. Droša elektroniskā paraksta risinājumiem vairumā projektu izmanto PKI, it īpaši risinājumos valsts informācijas sistēmām.
PKI arhitektūras modelis ietver divas funkcionālās grupas – PKI lietotāji un PKI pārvaldība (skat. attēlu). PKI lietotāji (vispārējs apzīmējums – gala entītija) ir PKI servisu (elektronisko parakstu) patērētāji. Gala entītija var būt jebkas, kas var tikt identificēts kā publiskās atslēgas sertifikāta objekts – lietojumprogramma, serveris, ugunsmūris, maršrutētājs, viedkarte utt. Digitāls sertifikāts veido asociāciju starp privāto/publisko atslēgu pāri un objektu (vai personu), kuru šis pāris identificē. Citiem vārdiem – digitāls sertifikāts ir elektronisks personu vai objektu apliecinošs dokuments. To pārvaldīšanas funkcijas realizējas sertifikātu administrētāja (Certification Authority – CA), reģistrēšanas administrētāja (Registration Authority – RA) un sertifikātu anulēšanas sarakstu (Certificate Revocation List – CRL) izsniedzēja moduļos. Sertifikātu administrētājs ir PKI risinājuma pamats. Tas ir vienīgais modulis, kas izsniedz digitālos sertifikātus un tos elektroniski paraksta. Šis modulis ir visas PKI sistēmas uzticamības līmeņa galvenais noteicējs. CA var tikt realizētas arī PKI lietotāju reģistrēšanas funkcijas, bet parasti to veic reģistrēšanas administrētāja modulis. Šis modulis nodrošina gala entītijas identitātes verificēšanu, tai reģistrējoties PKI sistēmā. Turklāt RA var veikt arī virkni citu funkciju:
apstiprināt sertifikāta pieprasītāja atribūtus;
pārliecināties, ka privātās atslēgas turētājs ir reģistrēts;
ģenerēt publiskos/privātos atslēgu pārus;
veikt starpnieka funkcijas starp CA (vai vairākiem CA) un gala entītijām (piem., brīdināšana par atslēgu uzticamības zaudēšanu, atslēgu atjaunošanas pieprasīšana u.c.);
reģistrācijai uzrādīto publisko atslēgu parametru apstiprināšana utt.
Viens no RA moduļu izvēršanas mērķiem ir samazināt PKI risinājuma izmaksas, otrs – atslogot CA (būtisks lielās sistēmās) un palielināt CA drošību, ļaujot tam darboties ārlīnijas (off-line) režīmā.
Var būt arī citi iemesli RA moduļu izvietošanai, piemēram, organizācija vai uzņēmums, nevēloties uzturēt CA servisus, var saglabāt kontroli pār PKI lietotāju reģistrācijas procesiem.
Elektronisko parakstu risinājuma droša funkcionēšana nav iedomājama bez publisko atslēgu sertifikātu (digitālo sertifikātu) aprites uzturēšanas. PKI lietotājiem jābūt iespējai pārliecināties par atslēgu pāra, kas izmantots sūtījuma parakstīšanai, piederību un uzticamību. Lai to nodrošinātu, gala entītijas izmanto sertifikātu un sertifikātu anulēšanas sarakstu glabātavas. Tās būtībā ir datubāzes vai direktorijas, kas tiek īpaši aizsargātas no nesankcionētām darbībām. Sertifikātu un sertifikātu anulēšanas sarakstu glabātavas drošos PKI risinājumos visbiežāk tiek realizētas, izmantojot X.500 balstītus direktoriju servisus, uzturot klientu piekļuvi ar protokolu LDAP (Lightweight Directory Access Protocol).
Sertifikātu pārvaldība
Elektronisko parakstu risinājumos digitālo sertifikātu pārvaldībā var nodalīt šādus sertifikātu pārvaldības galvenos posmus:
inicializēšana,
sertificēšana,
atslēgu pāru atjaunošana,
atslēgu pāru uzlabošana,
anulēšanas pieprasīšana,
kombinēta sertificēšana.
Katram šim posmam ir stingri noteiktas funkcijas, ko nosacīti var sadalīt šādās grupās.
1. PKI lietotāju ieviešana
Reģistrēšana. Pirmais solis PKI lietotāju ieviešanai elektronisko parakstu sistēmā. Šajā procesā tiek reģistrēti parametri, kas ļauj identificēt PKI lietotāju (gala entītiju). Šo procesu var veikt gan tiešsaistes, gan ārlīnijas režīmā.
Inicializēšana. Process, kas seko pēc PKI lietotāju reģistrācijas. Tajā gala entītija tiek asociēta ar tai atbilstošiem sertifikātu uzturēšanas noteikumiem, kā arī tiek ģenerēts gala entītijai piederīgs, unikāls publiskais/privātais atslēgu pāris.
Sertificēšana. Process, kas noslēdz PKI lietotāju ieviešanu sistēmā. CA ievieš gala entītijas publiskās atslēgas sertifikātu, kas tiek ģenerēts vienu reizi un nodots uzglabāšanai sertifikātu glabātavā.
2. Atslēgu pāru apkalpošana (uzturēšana)
Atslēgu pāru atjaunošana. Process nodrošina gala entītijas privāto/publisko atslēgu pāra atjaunošanu no uzticamas rezerves kopijas (parasti tiek uzglabātas CA). Atslēgu pāra atjaunošanu izmanto, ja gala entītijas rīcībā esošās atslēgas bojājuma dēļ nav iespējams piekļūt elektroniski parakstītai (šifrētai) informācijai.
Atslēgu pāru uzlabošana. Publiskās atslēgas sertifikātiem ir noteikts derīguma termiņš. Pēc tā beigām atslēgu pāris un uz tiem attiecināmais sertifikāts ir uzskatāms par nederīgiem (saskaņā ar Elektronisko dokumentu likumu, elektroniskais paraksts nevar tikt klasificēts kā drošs elektroniskais paraksts). Atslēgu pāru uzlabošanas process paredz jauna atslēgu pāra ģenerēšanu un atbilstoša jauna digitālā sertifikāta ieviešanu. Šo procesu var izmantot arī atslēgu pāra anulēšanas gadījumā.
Anulēšanas pieprasīšana. Digitālo sertifikātu var anulēt, beidzoties tā derīguma termiņam, mainoties tā īpašniekam, kompromitējot privātās atslēgas drošību utt. Anulēšanas pieprasīšanas process nodrošina gala entītijai (vai reģistrēšanas administrētājam) iespēju atsaukt izsniegto sertifikātu. Anulētie sertifikāti tiek publicēti sertifikātu anulēšanas sarakstā (anulēšanas un publicēšanas kārtību nosaka standarts X.509). Sarakstu publicēšanas regularitāti nosaka PKI pakalpojumu sniedzēja iekšējie noteikumi.
Kombinēta sertificēšana. Process nodrošina, ka viena CA uzticamība tiek apliecināta ar otra CA izsniegtu digitālu sertifikātu (sertifikāts, kas satur CA publisko atslēgu, kuru digitāli parakstījis otrs CA).
Šis nav pilnīgs digitālo sertifikātu pārvaldības funkciju uzskaitījums. Tās var paplašināt atkarībā no elektronisko parakstu lietošanas un PKI sistēmas specifikas.
Ievads ieviešanai
Elektronisko dokumentu likums nosaka: - Elektronisko dokumentu uzskata par pašrocīgi parakstītu arī tajos gadījumos, kad tam ir elektroniskais paraksts un puses par elektroniskā dokumenta parakstīšanu ar elektronisko parakstu ir vienojušās rakstveidā. Šādā gadījumā rakstveida vienošanās noformējama un parakstāma uz papīra vai elektroniski ar drošu elektronisko parakstu.- Ļoti daiļrunīgs likuma pants, kas ietver teju vai bezgalīgu politisko gribu sākt dokumentu elektronisko parakstīšanu pēc iespējas ātrāk, vienlaikus parādot, cik tālu likumdevējs atrodas no personas, kurai šis likums būs jāievēro. Protams, nevar izslēgt citu skaidrojumu [D.R.2]faktam, ka likums paredz iespēju pusēm vienoties rakstveidā, izmantojot drošu elektronisko parakstu, par to, ka dokumentu parakstīšanai var izmantot elektronisko parakstu, kas nav uzskatāms par drošu elektronisko parakstu. Iespējams, ka ir paredzēta kāda specifiska juridiska procedūra, kas ļaus pusēm risināt konfliktu situācijas bez militāriem līdzekļiem. Bet labāk, pirms sākt elektroniskā paraksta ieviešanu, ir saprast, ka runa nav tikai par tehnoloģiju, bet arī par cilvēkiem, viņu tiesībām un it īpaši – konflikta situāciju iespējamiem risinājumiem.
Dainis RUMENTS
IS drošības konsultants,
SIA E-protect