поиск по сайту
Аспекты, связанные с оценкой целесообразности участия государств в системе PKD ИКАО

C.С. Лыдин, ЗАО «ОКБ САПР»,
г. Пенза, sansara@penza.okbsapr.ru

Аспекты, связанные с оценкой целесообразности участия государств в системе PKD ИКАО

1 Введение

Построение глобальной системы подтверждения подлинности машиносчитываемых проездных документов (МСПД) Международной организации гражданской авиации (ИКАО) (в частности, электронных паспортов) основано на централизованном обмене сертификатами инфраструктуры открытых ключей (PKI).

К обмену сертификатами PKI и списками отозванных сертификатов (Certificate Revocation List, CRL) предъявляются требования удобства и своевременности. Для достижения этих целей, а также для обеспечения глобальной совместимости систем проверки МСПД, на заседании Совета ИКАО 31 мая 2005 года было принято решение о создании на принципе возмещения затрат и под эгидой ИКАО Директории открытых ключей (Public Key Directory, PKD).

PKD ИКАО представляет собой централизованную базу данных, функционирующую в качестве хранилища, а также системы для распространения:

– сертификатов подписывающей стороны (Document Signer Certificate, CDS), необходимых для проверки подлинности объекта защиты МСПД (Document Security Object, SOD);

– сертификатов органа сертификации подписывающего государства (CCSCA), необходимых для проверки подлинности CDS;

– списка сертификатов органа сертификации подписывающего государства (CSCA Master List);

– списков отозванных сертификатов, выпускаемых участниками (CRL).

Для реализации основных целей в рамках PKD предусмотрено наличие следующих ролей:

– Оператор;

– Участник;

– Пользователь.

Оператором является субъект, с которым заключен контакт на учреждение и управление PKD ИКАО в соответствии с системной документацией и спецификациями PKI, установленными в последней редакции документа ИКАО Doc 9303.

Участником PKD может стать любая страна-участница договора с ИКАО или любой другой субъект, выпускающий или намеревающийся выпускать электронные МСПД.

Пользователями PKD являются те страны-участницы договора с ИКАО, территории, организации, коммерческие структуры или физические лица, которые не являются участниками PKD ИКАО, но которым при этом предоставляется возможность осуществлять доступ и считывать информацию из Директории для чтения PKD ИКАО.

2 Цель работы

Предлагается на основе анализа данных из открытых источников (официальные документы ИКАО, материалы об известных уязвимостях, угрозах и их реализациях относительно МСПД, законодательные акты и пр.) оценить целесообразность участия государств в PKD ИКАО, т. е. сопоставить положительные и отрицательные стороны участия в PKD ИКАО.

Следует отметить, что проведение подобной оценки неизбежно затрагивает ряд аспектов: технический, политический, финансовый и т. д. Очевидно, степень адекватности оценки зависит от уровня доступности информации, связанной с каждым из этих аспектов, и варьируется от полностью обоснованного утверждения до предположения.

3 Ситуация в предметной области

Ниже приведены краткие сведения, связанные с функционированием системы PKD ИКАО.

На текущий момент в PKD участвуют 11 государств: Австралия, Канада, Китай, Франция, Германия, Япония, Новая Зеландия, Сингапур, Республика Корея, Великобритания, США.

Управление PKD ИКАО осуществляется сингапурской компанией Netrust, победившей в конкурсе среди восьми претендентов.

PKD ИКАО является основным каналом распространения CDS и вторичным каналом для распространения CRL. Рекомендуется, чтобы хранение сертификата CDS также осуществлялось в чипе МСПД.

Приоритетным способом распространения CRL и CCSCA признается межгосударственный обмен. При этом в официальных документах ИКАО отмечается, что обычно между странами уже существуют каналы обмена подобного рода информацией, и рекомендуется использовать такие каналы в качестве основных. Государствам, не имеющим контактов с другими участниками системы PKD, рекомендуется установить их в кратчайшие сроки.

Взаимодействие с PKD осуществляется с использованием SSL с аутентификацией на сервере. Открытые ключи, передаваемые в директорию странами-участниками, должны быть представлены в формате сертификатов X.509, подписанных при помощи CCSCA. Обновление информации должно производиться в соответствии с протоколом LDAP. После проверки подписи сертификатов CDS, они становятся доступными для считывания.

Система PKD создана на основе службы распределенного каталога сети X.500. Ожидается, что размер директории составит 15-20 МБ. Так как размер директории относительно мал, заинтересованным сторонам рекомендуется загружать все ее содержимое каждый день. PKD ИКАО является полностью открытым Интернет-ресурсом, предоставляющим доступ для чтения всем желающим.

4 Преимущества, связанные с участием в PKD ИКАО

В официальных документах ИКАО декларируется, что использование PKD в качестве механизма централизованного хранения и рассылки сертификатов позволит:

1) минимизировать объем циркулирующих в системе сертификатов;

2) получить уверенность в том, что государства будут своевременно получать все необходимые обновления (CDS и CRL);

3) достичь глобальной совместимости систем проверки электронных МСПД;

4) снизить вероятность подделки МСПД. В материалах об известных уязвимостях электронных МСПД отмечается, что существует техническая возможность прописывать в чип паспорта цифровую подпись, которая при проверке будет приниматься в качестве подлинной. Использование PKD ИКАО снижает возможность проведения подобной атаки.

5 Издержки, связанные с участием в PKD ИКАО

Представляется, что участие в PKD ИКАО сопряжено со следующими издержками:

1) надежность системы проверки МСПД государства становится зависимой от надежности централизованного хранилища PKD, управляемого сторонней организацией. В случае несанкционированного обновления информации государства в PKD (например, связанного с компрометацией пароля доступа государства к базе данных, нарушениями при управлении системой PKD со стороны Оператора, атаками на канал передачи данных и т. д.) у злоумышленника может появиться возможность подделки МСПД государства. Также это может привести к затруднению передвижений граждан государства;

2) поскольку доступ к PKD ИКАО является открытым через сеть Интернет, возможны сетевые атаки с использованием уязвимостей в системе защиты или атаки, направленные на «отказ в обслуживании» (DoS). Сетевые атаки могут затруднить или нарушить функционирование систем проверки МСПД государства;

3) для защиты персональных данных граждан нормативные акты РФ требуют использования сертифицированного оборудования и настоятельно рекомендуют использование российских криптографических алгоритмов. В то же время, участие в PKD ИКАО подразумевает использование для взаимодействия с хранилищем PKD протоколов LDAP и SSL, что влечет за собой сложности при соблюдении соответствия положениям нормативных актов РФ;

4) в рамках двустороннего взаимодействия между государствами отказ от предоставления сертификата подписывающего государства CCSCA может рассматриваться в качестве одной из мер воздействия при возникновении политических противоречий и разрыве дипломатических отношений, а также в качестве способа выражения недоверия системе проверки принимающего государства. При условии участия государств в PKD ИКАО эта возможность практически нивелируется. В этой ситуации, вероятно, было бы актуальным наличие возможности адресного предоставления сертификатов государства;

5) участие в PKD сопряжено с дополнительными финансовыми затратами. Они складываются из единовременной выплаты при вступлении (на настоящий момент 56000 $) и ежегодных взносов (в текущей редакции открытых официальных документов упоминания о размере этих взносов не обнаружено. В предыдущих редакциях отмечалось, что размер взносов зависит от количества паспортов, выпускаемых государством, и фигурировали суммы от 20000 $ до 100000 $).

6 Заключение

PKD ИКАО, по-видимому, не является незаменимым механизмом.

Несмотря на стремление к достижению возможности централизованной проверки МСПД, в спецификациях PKD декларируется необходимость наличия двусторонних соглашений между государствами. Так, подразумевается, что сертификаты CCSCA должны распространяться с использованием двусторонних дипломатических каналов между государствами. Кроме того, устанавливается, что PKD является лишь вторичным каналом для рассылки CRL (возможно, по причине того, что в случае чрезвычайных ситуаций рассылка с использованием двусторонних каналов будет выполнена быстрее).

С учетом того, что сертификаты CDS рекомендуется хранить в чипе МСПД и что предотвращение клонирования паспортов (см. раздел 4, п. 4)) может быть достигнуто без использования системы PKD (например, посредством установления обязательности процедуры активной аутентификации), последняя во многом предстает в качестве механизма, дублирующего существующую функциональность. При этом, как показано в разделе 5, участие государства в PKD ИКАО сопряжено с рядом издержек. Об отсутствии настоятельной необходимости в PKD свидетельствует и тот факт, что на настоящий момент в этой системе участвует сравнительно небольшое количество стран. 

Окончательный ответ на вопрос о целесообразности участия государства в системе PKD ИКАО может быть дан только после всеобъемлющего анализа всех соответствующих аспектов.

Предполагаемые дальнейшие направления работы:

– изучение опыта других государств: выяснение причин, по которым они воздерживаются от участия в PKD ИКАО;

– исследование спецификаций PKD и механизмов защиты электронных МСПД с целью дальнейшего уточнения степени потребности в участии в PKD ИКАО;

– изучение проблемы совместимости PKD с законодательством РФ.


Метки статьи:
другое
ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них