Читаем Инфраструктуры открытых ключей полностью

Пример 13.4. Для пользователей А и B компании "Альфа" их домен политик образуют политики P₁ и P₂. Другие корпоративные PKI могут придерживаться политик, которые эквивалентны политикам домена политик пользователей А и B. Допустим, компания "Бета" имеет один УЦ, который выпускает сертификаты в соответствии с тремя политиками P_выс, P_ср и P_низ, соответствующими разным уровням безопасности (высокому, среднему и низкому). Если пользователи А и B при работе сталкиваются с сертификатами стороннего УЦ, то не способны интерпретировать соответствующие идентификаторы политик и, следовательно, определить, какие сертификаты применимы к их приложениям [70].

Рис. 13.3.  Соответствие политик двух компаний

УЦ "Альфа" может перевести информацию о политиках других доменов в информацию, понятную своим пользователям, при помощи дополнения Policy Mappings (соответствие политик) в своем сертификате. Компания "Альфа" может установить следующее соответствие политик: политика P_выс ( "Бета" ) эквивалентна политике P₂ ( "Альфа" ), а политики P_ср и P_низ ( "Бета" ) эквивалентны политике P₁ ( "Альфа" ). Компания "Бета", в свою очередь, может признать политику P₁ ( "Альфа" ) соответствующей политике P_низ ( "Бета" ), политику P₂ ( "Альфа" ) соответствующей политике P_ср ( "Бета" ), но считать, что ни одна из политик компании "Альфа" не соответствует требованиям политики P_выс ( "Бета" ). В результате приложения, для которых подходят сертификаты компании "Бета" с указанием политики P_выс, не смогут работать с сертификатами компании "Альфа".

Рис.13.3 демонстрирует одно из ключевых свойств соответствия политик: взаимное отображение политик разных компаний может быть несимметричным. Компании "Альфа" и "Бета" не должны согласовывать соответствие политик. Пользователи сертификатов каждой компании будут обрабатывать дополнение Policy Mappings в сертификате их собственного УЦ и полагаться на информацию о соответствии политик, предоставляемую удостоверяющими центрами их собственного домена политик.

Реальной альтернативой объемным документам, подробно описывающим политику PKI, может стать краткая характеристика политики - документ PDS (PKI Disclosure Statement) [10]. Документ PDS возник как проект группы инженерной поддержки Интернета IETF, затем Американская ассоциация юристов (American Bar Association - ABA) воплотила его идею в соответствующее приложение к своему руководству по оценке инфраструктур открытых ключей - PKI Evaluation Guidelines. Аналогичный документ был разработан также техническим комитетом по безопасности Европейского института стандартов связи (European Telecommunications Standards Institute - ETSI).

Документ, кратко раскрывающий политику PKI, должен занимать не более 2 страниц, в отличие от ППС и регламента, которые обычно излагаются на 8-10 и 40-80 страницах соответственно. PDS описывает самые существенные аспекты деятельности PKI: гарантии, ограничения и юридическую ответственность сторон, он может служить контрольным списком для проверки соответствия практик безопасности двух удостоверяющих центров до вступления их в доверительные отношения. В целом документ PDS больше похож на соглашение с конечным пользователем или владельцем пластиковой карты, чем на обычный документ о политике. Действительно, пользователя среднего уровня подготовки обычно интересует его ответственность в различных ситуациях, а отнюдь не используемые криптографические методы или специфические меры безопасности PKI. Например, тот факт, что для хранения секретного ключа УЦ используется аппаратный ключ (токен), скорее всего, привлечет внимание лишь ограниченного круга лиц, а вот положение об ответственности доверяющей стороны за проверку валидности используемых сертификатов до проведения транзакции заинтересует всех субъектов PKI.

PDS позволяет ограничивать ответственность УЦ, если сертификат использовался не по назначению. Например, издатель сертификатов может опубликовать документ PDS, ограничивающий использование сертификатов только целями бизнеса. Если в дальнейшем клиент компании пожелает использовать свой сертификат для покупки DVD-диска в Интернет-магазине, то не сможет в этом случае рассчитывать на гарантии УЦ. Конкретизируя ответственность сторон, PDS не только обеспечивает защиту издателя сертификатов, но и определяет отношения между всеми субъектами PKI.