Читаем Инфраструктуры открытых ключей полностью

Документ PDS должен быть адресован конечным пользователям PKI и всем лицам, заинтересованным в кросс-сертификации. Эффективное управление кросс-сертификацией является общей проблемой больших компаний, предоставляющих услуги PKI. Если клиент такой компании вступает в отношения кросс-сертификации, например, с правительственным агентством, то должны соблюдаться все требования политики правительства, которые могут быть несовместимы с требованиями политики компании. Согласование таких объемных и подробных документов, как политика применения сертификатов и регламент, хотя и не является невозможным, но все же вызывает значительные затруднения.

Как и все другие документы, описывающие политику PKI, PDS не является универсальным. В работе [49] предлагается дополнить список этих документов стандартным шаблоном (XML-таблицей) характеристик политики PKI, что дает возможность свести разработку политики к выбору тех параграфов, которые необходимы конкретной компании, развертывающей PKI, и проставлению в пустых графах соответствующих денежных сумм, временных ограничений и т.п. Этот способ не только дает выигрыш во времени, но и позволяет сравнивать политики разных инфраструктур открытых ключей при кросс-сертификации. Подключение таблицы стиля политики PKI к поисковому механизму дает возможность автоматически анализировать ее структуру. В результате поиска и сравнительного анализа стандартных таблиц, характеризующих политику каждой зарегистрированной PKI, легко установить соответствие политик разных инфраструктур и принять решение о безопасности кросс-сертификации. Этот способ гораздо проще распространенного сегодня бюрократического и трудоемкого метода синхронизации политик PKI.

Набор положений - совокупность положений практики и/или политики PKI, охватывающих круг стандартных тем для формулирования политики применения сертификатов или регламента . Рис. 14.1 иллюстрирует ориентировочный перечень разделов, включаемых в описание ППС или регламента.

Стандарт RFC 2527 Certificate Policy and Certification Practices Framework [152] не обязывает разработчиков политики или регламента называть разделы определенным образом и не устанавливает никаких правил раскрытия положений политики или регламента. Поэтому перечень разделов можно рассматривать как рекомендательный список, позволяющий эффективно сравнивать различные политики применения сертификатов и регламенты при принятии решений о формировании политики. В наборе положений требуется прямо или косвенно (по ссылке) задавать типы спецификаторов политики и их значения, используемые по умолчанию.

Общие положения в наборе положений предваряет раздел Введение, в котором дается краткий обзор спецификации, описываются используемые термины и идентификаторы, определяются типы субъектов PKI и списки приложений, для которых применение выпускаемых УЦ сертификатов возможно, ограничено или запрещено. Кроме того, в разделе Введение содержится название и юридический адрес УЦ, который отвечает за регистрацию, интерпретацию и поддержку данной ППС или регламента, а также информация о контактном лице (имя, адрес электронной почты, номер телефона и факса). Перечень общих разделов, представленный на рис. 14.1, охватывает широкий круг проблем юридической и общей практики.

Раздел Обязательства регулирует обязательства субъектов PKI: удостоверяющего и регистрационного центров, подписчиков (владельцев сертификатов ключей подписи) и доверяющих сторон. К таковым обязанностям относятся:

1обязательства УЦ и/или РЦ:

* уведомление о выпуске сертификата других лиц помимо субъекта сертификата;

* уведомление субъекта сертификата об аннулировании или приостановлении действия его сертификата;

* уведомление других лиц, помимо субъекта сертификата, об аннулировании или приостановлении действия сертификата данного субъекта;

* своевременная публикация сертификатов и информации об аннулировании;