Стандарт RFC 2527 Certificate Policy and Certification Practices Framework [152] не обязывает разработчиков политики или регламента называть разделы определенным образом и не устанавливает никаких правил раскрытия положений политики или регламента. Поэтому перечень разделов можно рассматривать как рекомендательный список, позволяющий эффективно сравнивать различные политики применения сертификатов и регламенты при принятии решений о формировании политики. В наборе положений требуется прямо или косвенно (по ссылке) задавать типы спецификаторов политики и их значения, используемые по умолчанию.
Общие положения в наборе положений предваряет раздел Введение, в котором дается краткий обзор спецификации, описываются используемые термины и идентификаторы, определяются типы субъектов PKI и списки приложений, для которых применение выпускаемых УЦ сертификатов возможно, ограничено или запрещено. Кроме того, в разделе Введение содержится название и юридический адрес УЦ, который отвечает за регистрацию, интерпретацию и поддержку данной ППС или регламента, а также информация о контактном лице (имя, адрес электронной почты, номер телефона и факса). Перечень общих разделов, представленный на рис. 14.1, охватывает широкий круг проблем юридической и общей практики.
Раздел Обязательства регулирует обязательства субъектов PKI: удостоверяющего и регистрационного центров, подписчиков (владельцев сертификатов ключей подписи) и доверяющих сторон. К таковым обязанностям относятся:
1 обязательства УЦ и/или РЦ:
* уведомление о выпуске сертификата других лиц помимо субъекта сертификата;
* уведомление субъекта сертификата об аннулировании или приостановлении действия его сертификата;
* уведомление других лиц, помимо субъекта сертификата, об аннулировании или приостановлении действия сертификата данного субъекта;
* своевременная публикация сертификатов и информации об аннулировании;
2 обязательства подписчика (владельца сертификата):
* точное информирование о цели использования сертификата при обращении к УЦ с запросом о выдаче сертификата;
* сохранение в тайне секретного ключа;
* использование секретного ключа и сертификата с учетом ограничений политики PKI;
* уведомление о компрометации секретного ключа;
3 обязательства доверяющей стороны:
* использование сертификата только по назначению;
* соблюдение порядка верификации ЭЦП;
* проверка статуса сертификата перед его использованием;
* подтверждение соответствующих пределов ответственности и гарантий.
Раздел Ответственность содержит положения, позволяющие распределять ответственность между всеми субъектами PKI:
1 гарантии и ограничения на гарантии;
2 виды ущерба: случайный ущерб, ущерб по небрежности, убытки (фактические, косвенные, заранее оцененные, штрафные), мошенничество;
3 непризнание ущерба;
4 исключения (например, форс-мажорные обстоятельства, ответственность другой стороны).
Раздел финансовая ответственность регулирует возмещение ущерба удостоверяющего или регистрационного центров доверяющими сторонами, фидуциарные (между доверенными лицами) отношения между различными субъектами и административные процессы (бухучет, аудит).
Рис. 14.1. Набор положений политики PKI
Правовые положения и процедуры решения споров, имеющие отношение к интерпретации и исполнению ППС или регламента, содержатся в одноименном разделе Интерпретация и правоприменение.
В разделе Плата за услуги излагается политика компенсации и перечисляются виды услуг, за которые взимается плата с клиентов удостоверяющего и регистрационного центров (выпуск и повторный выпуск сертификата, доступ к сертификату и к информации о статусе сертификата, информирование о политике УЦ и др.).
Раздел Публикация и репозитории содержит обязательства УЦ публиковать информацию о ППС и регламенте, сертификатах и их статусе, а также контролировать доступ к объектам публикуемой информации, информацию о частоте публикации и требования к репозиториям, управляемым УЦ или другими независимыми сторонами.
В раздел Аудит деятельности субъектов включены следующие положения:
1 частота проверок для каждого субъекта PKI;
2 личность/квалификация аудитора;
3 отношение аудитора к субъекту;
4 действия, предпринимаемые после обнаружения нарушений в деятельности субъекта;
5 обеспечение и разделение ответственности за нарушения субъекта.
В разделе Конфиденциальность указываются виды данных, которые должны храниться удостоверяющим или регистрационным центром конфиденциально, а также виды данных, не являющихся конфиденциальными; перечисляются лица, имеющие право на получение информации о причинах аннулирования или приостановления действия сертификатов. Кроме того, в этом разделе излагается политика раскрытия информации официальным представителям правоохранительных органов, приводятся условия раскрытия конфиденциальной информации, информации для гражданских судебных исков и информации по запросу ее собственника.
Перечень общих положений завершается разделом Права интеллектуальной собственности , описывающим права интеллектуальной собственности на сертификаты, спецификации ППС и регламента, имена и ключи.
Специальные разделы
Изложение специальных разделов начинается с раздела Идентификация и аутентификация , который описывает процедуры аутентификации заявителя на сертификат, используемые удостоверяющим или регистрационным центром перед выпуском сертификата. Он также регламентирует порядок аутентификации лиц, обращающихся с запросом об аннулировании или повторном выпуске ключа, а также практику использования имен, включая признание собственности имени и разрешение споров об имени. Этот раздел включает следующие подразделы:
* начальная регистрация;
* обычное обновление ключа;
* повторный выпуск ключа после аннулирования;
* запрос об аннулировании ключа.
Подраздел Начальная регистрация содержит положения, относящиеся к процедурам идентификации и аутентификации во время регистрации субъекта или выпуска сертификата:
1 типы имен, присваиваемых субъекту;
2 регулирование многозначности имен;
3 правила интерпретации различных форм имени;
4 регулирование уникальности имен;
5 признание, аутентификация и роль торговых марок;
6 регулирование обязанности субъекта доказывать владение секретным ключом, составляющим пару с зарегистрированным открытым ключом;
7 требования аутентификации организационной принадлежности субъекта (УЦ, РЦ или конечный субъект);
8 требования аутентификации лица, действующего от имени субъекта, в том числе:
* необходимое количество составляющих идентификации;
* порядок ратификации удостоверяющим или регистрационным центром составляющих идентификации;
* условия персонального представления физического лица при аутентификации в удостоверяющем или регистрационном центре;
* условия аутентификации юридического лица.
Подразделы Обычное обновление ключа, Повторный выпуск ключа после аннулирования и Запрос об аннулировании описывают процедуры идентификации и аутентификации каждого субъекта (УЦ, РЦ и конечный субъект) при обычном обновлении ключа, повторном выпуске сертификата и обработке запроса об аннулировании сертификата.
Структура раздела Операционные требования представлена на рис. 14.2. В каждом подразделе формулируются требования ко всем субъектам PKI по различным видам операционной активности.
Подраздел Запрос о выдаче сертификата определяет требования к процедуре регистрации субъекта и запросу о выдаче сертификата, подраздел Выпуск сертификата - к выпуску сертификата и процедуре уведомления об этом субъекта, подраздел Принятие сертификата - к процедурам принятия субъектом выпускаемого сертификата и последующей публикации сертификата.
