Мельников Д. А. - Информационная безопасность открытых систем - 2013

тономными ДТС. ДТС, которые активно участвуют в процеду­ рах формирования или проверки доказательства, называются интерактивными ДТС. ДТС, которая является промежуточной системой (intermediary) во всех процедурах информационного обмена, называется промежуточной ДТС.

ДТС может быть востребована для записи (регистрации) и / или накопления доказательств, также она необходима в качестве поручителя за юридическую обоснованность доказательства. Привлекаемые к СЛНТ ДТС могут выступать в различном ка­ честве (например нотариуса, службы меток времени, службы мо­ ниторинга, УЦ, службы формирования ЭЦП, службы подтверж­ дения подлинности ЭЦП и центра доставки). Одна ДТС может выступать в одной или в нескольких из следующих ролей:

•формирование доказательства. ДТС взаимодействует с СЛНТ, которая запрашивает процедуру формирования доказательства;

•регистрация доказательства. ДТС регистрирует (записы­ вает) доказательство, которое в дальнейшем может быть возвращено пользователю доказательством или судье;

•слуусба меток времени. ДТС является доверенной служ­ бой, которая обеспечивает доказательство, включающее время, меткой времени при получении на нее запроса;

•служба мониторинга. ДТС контролирует действие или событие в качестве доверенной службы с целью обеспе­ чения доказательства всего того, что она контролирова­ ла;

•УЦ. ДТС обеспечивает СЛНТ сертификатами ключей ЭЦП (СЕРТ), связанными с формированием доказа­ тельства, с целью обеспечения гарантий подлинности открытого ключа, который используется в интересах СЛНТ;

•служба распределения ключей. ДТС снабжает ключами объекты (устройства) формирования и/или проверки доказательства. Также она может налагать ограничения на применение ключей, если, естественно, используются методы симметричной криптографии;

254

•служба формирования ЭЦП. ДТС является доверенной службой обеспечения доказательства в форме ЭЦП от имени субъекта доказательства;

•службы подтверждения подлинности (проверки) доказа­ тельства. ДТС проверяет (подтверждает подлинность) доказательства по запросу объекта;

•службы подтверждения подлинности (проверки) ЭЦ П .

ДТС является доверенной службой для объекта, исполь­ зующего доказательство, при проверке (подтверждении подлинности) этого доказательства в форме ЭЦП;

ПРИМ ЕЧАНИЕ. Формирование ЭЦП является частным случаем формирования доказательства. Подтверждение под­ линности (проверки) ЭЦП является частным случаем под­ тверждения подлинности (проверки) доказательства.

•нотариус. ДТС обеспечивает гарантии свойств данных (таких как их целостность, авторство, время или полу­ чателя), которыми обмениваются между собой две или несколько взаимодействующих сторон и которые пред­ варительно были зарегистрированы ДТС;

•центр доставки. ДТС взаимодействует с указанным по­ лучателем данных и пытается передать данные получате­ лю. После этого ДТС обеспечивает доказательство того, что либо данные были доставлены, либо данные не были доставлены, либо была предпринята попытка доставки, но подтверждение приема не было получено. В послед­ нем случае объект, использующий доказательство, не мог определить, были ли получены данные указанным полу­ чателем или нет.

5 .1 .3 . Ф азы процедуры об есп еч ен и я неотказуем ости

Процедура обеспечения неотказуемости (или просто процеду­ ра неотказуемости — ПРНТ) состоит из четырех фаз:

•формирование доказательства;

•доставка, хранение и извлечение доказательства;

•проверка (подтверждение подлинности) доказательства;

•разрешение (урегулирование) спора.

255

На рис. 5.1 представлены первые три фазы ПРНТ, а на рис. 5.2 — четвертая фаза ПРНТ.

П о л и т и к а б е з о п а с н о с т и п р и о б е с п е ч е н и и н е о т к а з у е м о с т и

Рис. 5.1. Первые три фазы ПРНТ

Политика обеспечения неотказуемости

____________________ L 1

Назначенные по обоюдному согласию судьи

Ответчилк I

1^— 1 шя

Рис. 5.2. Урегулирование спора

256

5.13.1. Формирование доказательства

В этой фазе сторона, запрашивающая формирование дока­ зательства (Evidence Generation Requestor), направляет запрос объекту (средству) формирования доказательства (Evidence Ge­ nerator) с целью сформировать доказательство события или дей­ ствия. Объект, участие которого в событии или действии под­ тверждается доказательством, именуется субъектом доказа­ тельства (Evidence Subject). Указанные объекты могут груп­ пироваться по-разному: субъект доказательства и средство формирования доказательства могут быть одним и тем же объ­ ектом, а именно субъектом доказательства, стороной, запраши­ вающей формирование доказательства, и средством формиро­ вания доказательства; сторона, запрашивающая формирование доказательства, и ДТС; средство формирования доказательства и ДТС; сторона, запрашивающая формирование доказательства, средство формирования доказательства и ДТС. В зависимости от типа СЛНТ доказательство может быть сформировано субъ­ ектом доказательства, возможно, совместно со службами ДТС, или одной ДТС.

ПРИМ ЕЧАНИЕ. В зависимости от контекста СЛНТ важное доказательство будет, как правило, включать параметры подлин­ ности участвующих объектов, данные, время и дату. Может быть включена и другая дополнительная информация, такая как режим доставки (например соединение ЭМ ВОС или Интернет-архитек­ туры, хранение в БД и извлечение из БД); расположение участвую­ щих объектов, УИД; «владелец»/автор данных.

5.13.2. Доставка, хранение и извлечение доказательства

В течение этой фазы (Evidence Transfer, Storage and Retrieved) доказательство транслируется либо между объектами, либо до­ ставляется в хранилище, либо извлекается из него (см. рис. 5.1).

5 .1 3 3 . Проверка (подтверждение подлинности) доказательства

В этой фазе доказательство проверяется объектом (сред­ ством) проверки (подтверждение подлинности) доказательства

257

(Evidence Verifier) по запросу пользователя доказательством (Evidence User). Сущность этой фазы: пользователь доказатель­ ством убеждается в том, что полученное доказательство будет действительно адекватным тому событию, из-за которого возник спор. Для проверки предоставленной информации могут допол­ нительно привлекаться службы ДТС. Пользователь доказатель­ ством и объект (средство) проверки (подтверждение подлинно­ сти) доказательства могут быть одним и тем же объектом.

5.13.4. Урегулирование (разрешение) спора

В фазе урегулирования спора судья несет ответственность за разрешение спора между сторонами. Конфликтующие стороны иногда называют истцом и ответчиком (см. рис. 5.2).

Когда судья разрешает спор, он собирает доказательства от конфликтующих сторон и/или ДТС. Сама процедура, приме­ няемая судьей при урегулировании спора, не рассматривается.

Необходимость этой фазы не всегда обязательна. Если заин­ тересованные стороны согласились, что событие или действие имело место (или согласились, что его не было), то нет предме­ та спора, а значит нечего урегулировать. Более того, даже если спор возник, то он может быть разрешен непосредственно между сторонами спора без привлечения судьи. Например, если одна из сторон спора является честной, но неправильно понятой, то стороны спора могут осознать, что они ошиблись, когда пред­ ставляли доказательства другой стороны.

Несмотря на то что эта фаза не всегда необходима при каж­ дом обращении к СЛНТ, все способы обеспечения неотказуемо­ сти обязаны поддерживать фазу урегулирования (разрешения) споров, т.е. они обязаны предоставлять возможность для урегу­ лирования споров, если таковые возникли.

5 .1 .4 . Н екоторы е ф ормы с л у ж б о б есп ечен и я неотказуем ости

Существует несколько форм СЛНТ. Среди этих форм наи­ более часто обсуждаемой является СЛНТ, которая связана с до­ ставкой данных.

258

В процедуре доставки сообщения участвуют как минимум два объекта, именуемые «отправитель» и «получатель». Потен­ циальные споры, касающиеся события, могут быть следующие:

•споры, в которых участие отправителя в событии являет­ ся спорным, например, сомнительный отправитель заяв­ ляет, что сообщение было подделано либо получателем, либо нарушителем, осуществившим атаку типа «мас­ карад»;

•споры, в которых участие получателя в событии явля­ ется спорным, например, сомнительный получатель заявляет, что сообщение либо не было передано, либо было потеряно во время передачи, либо было принято только нарушителем, осуществившим атаку типа «ма­ скарад».

Вслучаях обмена сообщениями СЛНТ классифицируются

всоответствии с вариантом спора, который они могут урегули­ ровать.

Доставка сообщений от отправителя (источника) к получа­ телю может рассматриваться как последовательность следую­ щих отдельных событий:

•передача сообщения от отправителя до посредника до­ ставки;

•передача сообщения между посредниками доставки (если участвуют несколько посредников);

•передача сообщения от посредника доставки до получа­ теля.

Для каждого из этих событий существует своя форма СЛНТ, которая обеспечивает доказательство для своего события. Далее приведены возможные варианты СЛНТ:

•СЛНТ с подтверждением (доказательством) получения сообщения для ретрансляции (Non-repudiation with proof of submission service) обеспечивает защиту от ложного от­ каза посредника доставки (ретранслятора) от факта по­ лучения им сообщения для дальнейшей передачи (либо от отправителя, либо от другого посредника доставки);

259

•СЛНТ с подтверждением (доказательством) передачи сообщения, подлежащего ретрансляции (Non-repudia­ tion with proof of transport service), обеспечивает защиту от ложного отказа посредника доставки (ретранслятора) от факта передачи им сообщения (либо получателю, либо другому ретранслятору).

ПРИМЕЧАНИЕ. Оба варианта СЛНТ не обеспечивают дока­ зательство того, что объект несет ответственность за сообщение или не понял информацию, которая содержится в сообщении.

5 .1 .5 . Прим еры доказательств неотказуем ости в р а м ка х Э М В О С и И н те р н е т-ар хи текту ры

В зависимости от привлекаемых в рамках ЭМВОС или Интернет-архитектуры СЛНТ для каждого типа события или действия необходимы соответствующие формы доказательств.

5.1.5.1. Неотказуемостъ источника (non-repudiation o forigin)

Доказательство должно включать следующие данные (кото­ рые могут быть подписаны или нотариально заверены):

•УИД источника (отправителя);

•переданные данные или цифровой отпечаток данных.

Кроме того, доказательство может включать следующие данные:

•УИД получателя;

•дата и время передачи данных.

5.1.5.2. Неотказуемостъ доставки (non-repudiation o fdelivery)

Доказательство должно включать следующие данные (кото­ рые могут быть подписаны или нотариально заверены):

•УИД получателя;

•полученные данные или цифровой отпечаток данных.

260

Кроме того, доказательство может включать следующие данные:

•УИД источника (отправителя);

•дата и время получения данных.

Когда используется центр доставки, доказательство может включать следующие данные (которые могут быть подписаны или нотариально заверены):

•УИД центра доставки;

•дата и время, когда было получено сообщение от получа­ теля о его готовности к приему;

•дата и время, когда была завершена доставка центром до­ ставки;

•дата и время, когда центр доставки был не способен осу­ ществить доставку;

•возможные причины того, почему не произошла доставка (например разрыв соединения);

•описание требований к управлению, которые были вы­ полнены при доставке сообщения.

5.2. Политики обеспечения неотказуемости

Политика обеспечения неотказуемости (ПЛНТ) может включать:

•правила формирования доказательства, например, опи­ сание классов направлений деятельности, для которых целесообразно сформировать доказательство неотказуе­ мости, описания ДТС, которые будут использоваться при формировании доказательства, роли ДТС, которые они могут исполнять, процедуры, которые должны выпол­ нять объекты при формировании доказательства;

•правила проверки (подтверждения подлинности) дока­ зательства, например, описание ДТС, чьи доказательства приемлемы, для каждой ДТС, формы доказательства, ко­ торые будут приниматься от конкретной ДТС;

261

•правила хранения доказательства, например, используе­ мые средства, которые обеспечат гарантии (надежность) целостности хранимого доказательства;

•правила использования доказательства, например, опи­ сание целей, для достижения которых может использо­ ваться доказательство;

ПРИМЕЧАНИЕ. При использовании некоторых способов

обеспечения неотказуемости весьма трудно предотвратить не­ санкционированное использование доказательства;

•правила разрешения спора, например, описание привле­ каемых судей, которые могут урегулировать спор.

Каждый из этих наборов правил может быть определен раз­ ными ЦБ. Например, правила формирования доказательства могли быть определены владельцем системы, в то время как правила урегулирования споров могут быть определены зако­ ном страны, в которой расположена система.

Если разные части политики противоречивы, то СЛНТ может не выполнить процедуру корректно, например за счет признания события, которое фактически прошло успешно, но завершилось отказом в-течение фазы разрешения спора.

Сама ПЛНТ может использоваться судьей, когда последний разрешает спор. Например, судья может обратиться к ПЛНТ с целью определения, были ли соблюдены правила формирова­ ния доказательства.

ПЛБ могут устанавливаться однозначно или определять­ ся внедряемыми прикладными системами в неявной форме. Точное изложение ПЛНТ (например документ на читабель­ ном языке) может помочь при выявлении конфликтующих между собой различных частей политики, а также может по­ мочь судье.

ПЛНТ также затрагивают случаи, при которых доказатель­ ство было скомпрометировано или при которых для формиро­ вания доказательства использовались скомпрометированные или уничтоженные ключи.

262

ПЛНТ, предназначенные для ПИнО между ССБ, могут быть результатом соглашений между независимыми ССБ или могут быть установлены сетевым суперсегментом.

5.3. Вспомогательная информация и средства обеспечения неотказуемости

5 .3 .1 . В спом огательная инф орм ация

ВИ, которая может использоваться для урегулирования кон­ фликта (спора), называется доказательством (свидетельством). Доказательство может храниться локально пользователем дока­ зательства или у ДТС. Конкретными формами доказательства являются ЭЦП, защитные конверты и маркеры безопасности. ЭЦП основаны на методах открытых ключей, в то время как за­ щитные конверты и маркеры безопасности основаны на мето­ дах секретных ключей. Примеры информации, которая может являться доказательством, следующие:

•идентификатор ПЛБ для СЛНТ;

•УИД отправителя (источника);

•УИД получателя;

•ЭЦП или защитный конверт;

•сообщение или цифровой отпечаток сообщения;

ПРИМЕЧАНИЕ. Если цифровой отпечаток размещается в сообщении, то необходимо использовать соответствующий

индикатор для определения метода извлечения отпечатка.

•идентификатор сообщения;

•признак секретного ключа, необходимого для подтверж­ дения подлинности маркера безопасности;

•признак соответствующего открытого ключа для под­ тверждения подлинности ЭЦП (например УИД УЦ или серийный номер СЕРТ|ИБ);

•УИД нотариата, службы меток времени ДТС, промежу­ точной ДТС и т.д.;

•УИД доказательства;

263