ООО «Газинформсервис» постоянно работает над совершенствованием своих продуктов и решений на основе инфраструктуры открытых ключей (PKI) с целью их соответствия лучшим мировым практикам и стандартам. В рамках этой деятельности было проведено тестирование программного комплекса «Litoria Desktop»  на соответствие рекомендациям Национального института по стандартам и технологиям (National Institute of Standards and Technology, далее — NIST). Это тестирование позволяет подтвердить корректность функционирования средств электронной подписи (ЭП) при выполнении ими валидации сертификатов ключей проверки ЭП и цепочки сертификатов.

Цепочка сертификатов представляет собой иерархическую структуру сертификатов ключей проверки ЭП, построенную по принципу Sn(Sn-1), где Sn – сертификат, подтверждаемый сертификатом Sn-1. Исключение составляет корневой сертификат S1(S1), так как он является «самоподписанным» (рисунок 1).

Рисунок 1 – Принцип построения цепочки сертификатов

Цепочка начинается с сертификата корневого УЦ и заканчивается пользовательским сертификатом. Длина цепочки теоретически не ограничена, а практически составляет от двух до пяти сертификатов. Процедуры проверки цепочки сертификатов основаны на алгоритмах, представленных в рекомендациях ITU-T X.509 «Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks» («Информационные технологии – Взаимосвязь открытых систем – Справочник: Структуры сертификатов открытых ключей и атрибутов»), которые определяют форматы данных и процедуры распределения ключей проверки ЭП с помощью сертификатов ключей проверки ЭП, а позднее эти же процедуры были описаны, развиты и конкретизированы в рекомендациях RFC 5280«Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile» («Описание сертификатов и списков отозванных сертификатов для X.509/PKI-инфраструктуры Интернет»). Процесс проверки цепочки сертификатов предполагает установление связи между именем субъекта и ключом проверки ЭП этого субъекта, указанным в сертификате. Чтобы убедиться в безопасности и корректности функционирования PKI-совместимых приложений, путь сертификатов должен соответствовать рекомендациям X.509 и RFC 5280.

Смысл PKI-тестов NIST заключается в том, что каждый тест содержит проверку на конкретную ошибку обработки сертификата или цепочки сертификатов: некорректное содержимое поля сертификата, истечение или не наступление срока действия сертификата, нарушение связей в цепочке сертификатов и прочее.

Так, например, раздел 4.1 тестов обеспечивает проверки, согласно которым средство ЭП должно иметь возможность проверять ЭП каждого сертификата, входящего в цепочку, используя ключ проверки ЭП из предыдущего сертификата (или корневого ключа проверки ЭП для проверки ЭП первого сертификата в цепочке).

Раздел 4.2. обеспечивает проверки, согласно которым средство ЭП должно гарантировать, что срок действия каждого сертификата в цепочке сертификатов не истек на текущий момент времени или равен текущему времени, а время начала действия каждого сертификата в цепочке не позже, чем текущее время или равно текущему времени. И т.д.

Всего таких разделов 16, а комплекс тестов включает 200 различных проверок.

На рисунках 2 и 3 представлены иллюстрации выполнения тестовых примеров программным комплексом «Litoria Desktop». Вкладка «Управление сертификатами» (рисунок 2) позволяет установить тестовые сертификаты. Окно «Сертификат» (рисунок 3) иллюстрирует результаты проверки отдельных сертификатов ключей проверки ЭП, а также цепочек сертификатов и позволяет сравнить эти результаты с эталонными результатами тестирования, описанными NIST.

Рисунок 2 – Пользовательский интерфейс ПК «Litoria Desktop», вкладка «Управление сертификатами»

Рисунок 3 – Пользовательский интерфейс ПК «Litoria Desktop», окно «Сертификат». Результаты проверки

Данный метод оценки средств ЭП может быть применен для всех представленных на рынке продуктов, обеспечивающих работу с ЭП и другими механизмами безопасности, использующими PKI. А на основании результатов можно сделать вывод о том, какое из средств обеспечивает правильную реализацию функций PKI.

Следует отметить, что некорректная реализация проверок сертификатов, а также их цепочек может привести к ошибочной обработке электронного документа и наступлению неблагоприятных правовых последствий, что может повлечь за собой финансовый и репутационный ущерб для пользователей таких средств ЭП.

14 ноября 2016 года программный комплекс «Litoria Desktop» версии 1.0.36 успешно прошел все 200 тестов NIST, о чем мы с радостью спешим сообщить нашим пользователям!

Это еще раз подтверждает высокое качество программного комплекса и его соответствие лучшим мировым стандартам.