В ДУУ оборудването се разделя на оперативното, развойно и тестово. Разработката на продуктите свързани с предоставяните от ДУУ и удостоверителни услуги се осъществява на отделни системи, напълно независими от тези в редовна експлоатация.
Всички продукти, софтуер и услуги, предлагани от ДУУ се тестват първоначално в системите предназначени за разработки и тестване, преди да бъдат въведени в експлоатация и предоставени на потребителите.
Предоставяните от ДУУ удостоверителни услуги се поддържат посредством напълно обособени и специално предназначени за тази цел компютърни информационни системи.
-
В ДУУ са установени практики, мерки и принципи по отношение на сигурността в мрежовата среда, осъществяваният контрол и даване на права до мрежови информационни ресурси. ДУУ използва най-съвременни мрежови технически средства (хардуер и софтуер) за защита на достъпа и обмен на информация в рамките на своята инфраструктура, които се изразяват в:
-
ограничаване на физическия достъп до активно оборудване или кабели;
-
физическо разделяне на мрежите;
-
използване на протоколи за работа в мрежата които предоставят възможности за ограничаване на потребителите;
-
логическо разделяне на мрежите (VLAN);
-
ограничаване достъпа на потребители до мрежови ресурси на ниво приложение;
-
ограничаване достъпа от/до външни мрежи;
-
защитени комуникации - SSL/TSL комуникации.
Профил на издаваните удостоверения и на Списъка с прекратени удостоверения (CRL) Профил на издаваните удостоверения
Удостоверенията издавани от ДУУ са в съответствие с:
-
ITU-T Recommendation X.509: Information Technology - Open Systems Interconnection - The Directory: Authentication Framework;
-
RFC 3280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile.
Издадените удостоверения съдържат задължително основните полета описани в таблицата по-долу:
Serial Number
|
Сериен номер на удостоверението
|
Signature Algorithm
|
Алгоритъм използван при подписване на удостоверението от Доставчика на удостоверителни услуги
|
Issuer DN
|
Име на Доставчика на удостоверителни услуги, издал удостоверението
|
Valid From
|
Дата, от която е валиднo удостоверението
|
Valid To
|
Дата, до която е валиднo удостоверението
|
Subject DN
|
Име/псевдоним на Автора. В съответствие с профила на конкретното удостоверение от „Политиката за предоставяне на удостоверителни услуги“
|
Subject Public Key
|
Публичния ключ на Титуляра/Автора
|
Signature
|
Подпис на Удостоверяващия орган, генериран и кодиран в съответствие с RFC 3280.
|
Точното съдържание на профила на всяко конкретно удостоверение се съдържа в политиката, в съответствие с която е издадено.
Версия на издаваните удостоверения
Версията на издаваните от ДУУ удостоверения е Х.509 Version 3.
Разширения на издаваните удостоверения
Използваният от ДУУ Х.509 Version 3 формат за издаваните удостоверения позволява дефиниране на разширения и/или ограничения в приложението на удостоверението, в съответствие с възприетия профил. Полета, които дефинират тези разширения и/или ограничения
14.1.2.1 “Key Usage” - дефинира употребата на ключа, който се съдържа в издаденото удостоверение и съответните ограничения, при които подписът от използваното удостоверение ще има правна стойност. Според препоръки Х.509 v.3 са възможни следните предназначения на удостоверението:
-
Digital Signature (електронен подпис) - за проверка на електронни подписи, които спомагат идентификацията на потребителите или интегритет на данните;
-
NonRepudiation (неотменяемост) - за доказване на факта на изявлението. Когато данните са електронно подписани, електронният подпис доказва, че данните са оригинални и с ненарушена цялост;
-
Key encipherment (шифриране на ключ) - за шифриране на ключове, както и при обмен на такива през незащитена преносна среда;
-
Data encipherment (шифриране на данни) - за шифриране на данни, които се архивират или предават;
-
Key Certificate Signing (електронно подписване на Удостоверение) - използва се само в Удостоверение на Удостоверяващи органи, за проверка на електронен подпис на Удостоверяващ орган;
-
CRL Signing (електронно подписване на Списък на Прекратени Удостоверения) - използва се само в Удостоверение на Удостоверяващи органи, за проверка на електронен подпис на Удостоверяващ орган, с който е подписан поддържаният от него CRL.
14.1.2.2 “Certificate Policy” - указва политиката, която доставчикът на удостоверителни услуги е следвал при издаване на съответното удостоверение в съответствие с конкретната употреба. Политиката се идентифицира с уникално число.
14.1.2.3 “Basic Constraints” - дефинира типа на Титуляра и Автора (Subject) - издаденото удостоверение на Удостоверяващ орган или е удостоверение на краен потребител. Полето “Basic Constraints” е критично.
14.1.2.4 ”Enhanced Key Usage” - указва приложението, политиката на издаване и характера на съответното удостоверение.
-
ДУУ използва Sha1RSA алгоритъм за подписване на издаваните от него удостоверения, чрез прилагане на:
-
хеш-функция - Sha1(Secure Hash Algorithm);
-
алгоритъм за шифриране – RSA(Rivest-Shamir-Adelman).
Издадените от ДУУ удостоверения и подписани с алгоритъм Sha1RSA отговарят на изискванията на препоръки RFC3279.
Информация за използвания алгоритъм при подписване на удостоверението се съдържа в поле „Signatre Algorithm“ от неговия профил.
Форма и ограничения при използване на имена
Имената в полетата на удостоверението се записват в съответствие с изискванията и ограниченията според препоръките от X.501.
Прилагат се правилата за използване на имена и разрешаване на конфликти с имена са описани в Секция 8.1.
Идентификация на политиките за издаване на удостоверение
На всяка от политиките, в съответствие с които се издават удостоверения от ДУУ се присвоява идентификатор на обект (OID – Object Identifier). Идентификаторът на обект е уникална поредица от цели числа.
Сподели с приятели: |