Аттестаты

[продолжение, предыдущая часть]

Аттестат – это утверждение, заверенное электронной цифровой подписью службы ИОК или зафиксированное во внутреннем журнале службы. Это утверждение о стороне ИОК или о данных, циркулирующих в ИОК, в том числе о других аттестатах. Проводя аналогию с реальным миром, аттестат – это справка. Справка о чем угодно: о человеке, об организации, о другой справке. Система аттестатов – это сложная разветвленная бюрократия, аналогом которой собственно и является ИОК государственного уровня.

Введенный нами термин "аттестат" не является окончательным. Пока он кажется подходящим, но вполне может быть изменен, если будет предложена более удачная альтернатива.

На рисунке приводится классификация аттестатов, рассмотренных выше и определяемых далее.

Сертификат открытого ключа (СОК) связывает имя Алисы с ее личным ключом. Как мы уже говорили, личный ключ уникально идентифицирует Алису в цифровом мире. Поэтому, продолжая аналогию со справками, СОК – это цифровой паспорт Алисы. Или даже ее пропуск в цифровой мир. Кстати, перед выпуском пропуска Регистрационный центр (еще одна служба ИОК) обычно проверяет паспортные данные Алисы, и речь при этом идет не о цифровом, а об обычном бумажном паспорте.

Бумажный паспорт является серьезным долговременным аттестатом. В период его действия Алиса может получать временные полномочия, и эти полномочия будут отражаться в ее краткосрочных аттестатах. Например, Алиса может получить справку о регистрации по месту жительства или визу на въезд в определенную страну. Краткосрочный аттестат не является паспортом, который подтверждает аутентичность владельца, он содержит ссылку на паспорт. Предъявляя аттестат вместе с паспортом, можно подтвердить и аутентичность, и полномочия. Краткосрочный аттестат может быть дополнительной частью паспорта, например, его штампом.

Аналогом краткосрочного бумажного аттестата является атрибутный сертификат (АС). Он описывает полномочия (привилегии) владельца определенного СОК. АС выпускает Центр атрибутных сертификатов – очередная служба ИОК. Формально, эта служба относится не только к инфраструктуре отрытых ключей, но еще и к инфраструктуре управления привилегиями (ИУП). Управление АС и организация ИУП в целом определены в СТБ 34.101.67.

Зед дожен наладить не только выпуск аттестатов, но еще и их проверку. Как мы уже видели, при проверке подписанного Алисой документа может потребоваться проверить сертификат Алисы, сертификат Тома, штампы времени Тома, ответы Ольги, списки отозванных сертификатов Рута и множество других взаимосвязанных аттестатов. К сожалению, "цифровая бюрократия" пока ничем не уступает обычной.

Трудную задачу не обязательно решать самому. Можно переадресовать ее стороне, которая специализируется на подобных задачах. Так и поступают в ИОК – задачу проверки действительности электронного документа переадресуют Дейву. Дейв – это служба заверения данных (DVCS, Data Validation and Certification Server). Дейв получает электронный документ и возвращает аттестат заверения – подписанный вердикт проверки. Служба DVCS станартизирована в RFC 3029. Стандартизация ведется и в нашей стране. Разработан проект стандарта с рабочим названием СТБ 34.101.dvcs.

Служба Дейва очень важна для организации взаимодействия между инфраструктурами. Дело в том, что Дейв может проверять действительность документа в инфраструктуре X, а аттестат заверения выдавать в инфраструктуре Y. Сторонам Y не нужно иметь доступ к аттестатам X, не нужно знать об особенностях X, например, об используемых в X криптографических алгоритмах. Сторонам достаточно доверять Дейву и уметь проверять выпускаемые им в Y аттестаты.

Проверка действительности документов оформляется как сервис vsd (от англ. Validation of Signed Document). Это только один из сервисов Дейва. Другие сервисы:

• заверение факта владения данными (cpd, Certificate of Possession of Data);
• заверение факта существования данных (ccpd, Ceritification of Claim of Possession of Data);
• проверка действительности СОК (vpkc, Validation of Public Key Certificate).

Сервис cpd подверждает наличие данных (они предъявляются в запросе). Обращение к сервису можно рассматривать как юридически значимую публикацию данных. Но популярность такой услуги невелика. Сервисы ccpd и vpkc дублируют функции Тома и Ольги. Эти сервисы не нужны, если функции уже реализованы. Остается сервис vsd. Как раз он представляет основной интерес. Необходимость реализации именно этого сервиса мотивировала разработку СТБ 34.101.dvcs.

[следующая часть]