Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Некоторые проблемы обеспечения                      юридической силы электронному                      документу          ...
Портал госуслуг: запросы граждан       Запрос без юридических последствий          Запрос с юридическими последствиями    ...
European Commission. Proposal for a Regulation of the European Parliament and of the           Council on Electronic Ident...
PKI-форум. Слайд Кржыжановскойw w w. a l a d d i n – r d. r u                      4
Модернизированный слайд с PKI-форумаw w w. a l a d d i n – r d. r u                   5
Проблема обеспечения единого времениФЗ-102 от 26.06.2008г. «Об обеспечении единстваизмерений»Ст.2 Основные понятия (измере...
Участники процесса аутентификации• субъект доступа (апликант, претендент, заявитель)• центр регистрации (ЦР) – его основно...
Надежность аутентификации  •      Анализ рисков → стандарты → безопасность →         надежность → качество           – Ана...
Угрозы• Регистрация               • «Маскарад» – имитация конкретного пользователя               • Отрицание регистрации• ...
Прочие угрозы  • Случайные и/или намеренные ошибки при издании Credentials,         связывании, делегировании прав, создан...
Три основные процесса аутентификации•      Регистрация•      Криптографические протоколы аутентификации•      Валидация   ...
Основные этапы аутентификации                                          процесс                          критичные операции...
Предварительные оценки           процессы                                                      минимум макс.  1.       Рег...
Сервис аутентификации в ЕПД должен быть доверенным!                           Спасибо за внимание!                        ...
Проверка юридической силы эл.документа          Допустимость оформления            документа в эл.форме                   ...
Upcoming SlideShare
Loading in …5
×

Некоторые проблемы обеспечения юридической силы электронному документу

498 views

Published on

Презентация Сабанова Алексея Геннадьевича, Заместитель генерального директора ЗАО «Аладдин Р.Д.». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Некоторые проблемы обеспечения юридической силы электронному документу

  1. 1. Некоторые проблемы обеспечения юридической силы электронному документу Алексей Сабанов, Заместитель генерального директора, к.т.н. 1 ноября 2012г.w w w. a l a d d i n.– r d. r u n ru
  2. 2. Портал госуслуг: запросы граждан Запрос без юридических последствий Запрос с юридическими последствиями Док. ответ НСИ Документы НСИ Архивыw w w. a l a d d i n – r d. r u 2
  3. 3. European Commission. Proposal for a Regulation of the European Parliament and of the Council on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market. Brussels, XXX COM (2012) 238/2Глава 2. Электронная идентификацияГлава 3. Доверенные сервисыПод доверенными сервисами будем пониматьэлектронные сервисы, участвующие в создании,валидации, обработке, хранении электронных подписей,электронных печатей, меток доверенного времени,электронных документов, средств доставки изаверения электронных сообщений, разграничения иуправления доступом, аутентификации на Web-сайтах, электронных сертификатов (в том числеатрибутных), актуальных реестров (ролей участниковэлектронного взаимодействия, уполномоченных лиц и др.),сервисы регистрации, документирования и т.д.w w w. a l a d d i n – r d. r u 3
  4. 4. PKI-форум. Слайд Кржыжановскойw w w. a l a d d i n – r d. r u 4
  5. 5. Модернизированный слайд с PKI-форумаw w w. a l a d d i n – r d. r u 5
  6. 6. Проблема обеспечения единого времениФЗ-102 от 26.06.2008г. «Об обеспечении единстваизмерений»Ст.2 Основные понятия (измерение, государственныйпервичный эталон единицы величины, калибровка,…)Ст.21, ч.11. Государственная служба времени…осуществляет деятельность в соответствии с положениемо ней, утвержденным Правительством РФ… Финансируется из бюджета РФЗакон РФ от 27.04. 1993г. № 4871-1 «Об обеспеченииединства измерений»Федеральное агентство по метрологии (Росстандарт)w w w. a l a d d i n – r d. r u 6
  7. 7. Участники процесса аутентификации• субъект доступа (апликант, претендент, заявитель)• центр регистрации (ЦР) – его основной задачей является установление и фиксация (закрепление) связи субъекта и его уникального секретного признака – аутентификатора. В качестве такого центра может выступать, например, удаленный центр регистрации удостоверяющего центра (УЦ), связанный доверительными отношениями с УЦ• доверяющая сторона – владелец того ресурса, к которому претендует получить доступ субъект доступа. Он проверяет по протоколу аутентификации факт владения субъектом доступа соответствующим аутентификатором – секретом, который выдан субъекту ЦР-ом• проверяющая сторона (центр валидации, ЦВ), входит в состав ИОК, - выполняет проверку наличия фиксированной ЦРом связи «субъект доступа – аутентификатор. Например, проверяет, является ли ЭУ действительным (валидным) на момент проверки. w w w. a l a d d i n – r d. r u 7
  8. 8. Надежность аутентификации • Анализ рисков → стандарты → безопасность → надежность → качество – Анализ надежности (системы, состоящей из серверной и клиентской частей) → соответствие требованиям (в идеале – стандартам) → качество – Анализ процессов → функциональная надежность → качествоw w w. a l a d d i n – r d. r u 8
  9. 9. Угрозы• Регистрация • «Маскарад» – имитация конкретного пользователя • Отрицание регистрации• Токены (аутентификаторы: пароль, PIN-код, ОТР,…) • Программные и физические ключевые носители может быть украдены или дублированы • Известное (PIN) может быть раскрыто злоумышленником • Обладаемое (отпечаток пальца) может быть скопировано• Протоколы аутентификации • Подслушивание • Имитация (заявителя, проверяющей стороны, доверяющей стороны • Перехват сеанса аутентифицированного пользователя (обращение от имени пользователя к доверяющей стороне с целью получения конфиденциальной информации или ввода ложной информации) • Обращение от имени доверяющей стороны к проверяющей стороне с целью получения конфиденциальной информации или ввода ложной информации w w w. a l a d d i n – r d. r u 9
  10. 10. Прочие угрозы • Случайные и/или намеренные ошибки при издании Credentials, связывании, делегировании прав, создании учетных записей • Злонамеренное ПО, направленное на компрометацию токенов (аутентификаторов) • Вторжение в системы пользователей, CSP или проверяющих сторон с целью получения цифровых удостоверений или токенов • Угрозы компрометации токенов со стороны инсайдеров • Социальный инжиниринг с целью раскрытия пользователем PINа, подглядывание • Атаки, при которых обманутый заявитель использует небезопасный протокол, думая, что использует безопасный, либо сам преодолевает средства защиты (например, принимая сертификаты серверов, не прошедших проверку) • Явный отказ пользователей, сознательно скомпрометировавших свои токеныw w w. a l a d d i n – r d. r u 10
  11. 11. Три основные процесса аутентификации• Регистрация• Криптографические протоколы аутентификации• Валидация w w w. a l a d d i n – r d. r u 11
  12. 12. Основные этапы аутентификации процесс критичные операции1. Регистрация1.1. субъект предъявляет свои идентификаторы (удостоверения или ЭУ) ошибки ввода данных1.2. ЦР проверяет предъявленные субъектом идентификаторы ошибки проверки идент.1.3. ЦР создает учетную запись субъекта ошибки ввода данных1.4. ЦР регистрирует/создает секрет (аутентификатор) и издает ЭУ вероятность мала1.5. ЦР делегирует права доступа субъекта к другим ИС вероятность мала1.6. ЦР выдает секрет и ЭУ на руки субъекту вероятность мала2. Подтверждение подлинности2.1. Субъект хранит секрет и ЭУ критичная операция2.2. Субъект предъявляет секрет и ЭУ доверяющей стороне (ДС) вероятность мала3. Валидация3.1. ДС проверяет цепочку сертификатов ЭУ вероятность мала3.2. ДС проверяет срок действия ЭУ вероятность мала3.3. ДС проверяет действенность ЭУ вероятность мала3.4. ДС проверяет область действия вероятность мала4. Принятие решения о доступе (авторизация)4.1. ДС принимает решение о результате аутентифкации вероятность мала w w w. a l a d d i n – r d. r u 12
  13. 13. Предварительные оценки процессы минимум макс. 1. Регистрация 1.1. субъект предъявляет свои идентификаторы (удостоверения или ЭУ) 1.2. ЦР проверяет предъявленные субъектом идентификаторы 0,97 0,99 1.3. ЦР создает учетную запись субъекта 0,99 0,999 1.4. ЦР регистрирует/создает секрет (аутентификатор) и издает ЭУ 0,99 0,999 1.5. ЦР делегирует права доступа субъекта к другим ИС 0,99 0,999 1.6. ЦР выдает секрет и ЭУ на руки субъекту 0,9 0,99 2. Подтверждение подлинности 2.1. Субъект хранит секрет и ЭУ 0,43 0,999 2.2. Субъект предъявляет секрет и ЭУ доверяющей стороне (ДС) 0,99 0,999 3. Валидация 3.1. ДС проверяет цепочку сертификатов ЭУ 0,99 0,999 3.2. ДС проверяет срок действия ЭУ 0,99 0,999 3.3. ДС проверяет действенность ЭУ 0,99 0,999 3.4. ДС проверяет область действия 0,99 0,999 4. Принятие решения 4.1. ДС принимает решение о результате аутентификации 0,99 0,999 0,381 0,9801w w w. a l a d d i n – r d. r u 13
  14. 14. Сервис аутентификации в ЕПД должен быть доверенным! Спасибо за внимание! a.sabanov@aladdin-rd.ruw w w. a l a d d i n.– r d. r u n ru 14
  15. 15. Проверка юридической силы эл.документа Допустимость оформления документа в эл.форме Определение лица, подписавшего документ Правовая оценка наличия полномочий на подписание Подтверждение целостности эл.документаw w w. a l a d d i n – r d. r u 15

×