Корневой удостоверяющий центр Республики Казахстан
В целях создания основы единого пространства доверия между участниками информационного взаимодействия в Республике Казахстан построена организационно-технологическая инфраструктура системы удостоверяющих центров Республики Казахстан (далее – СУЦ РК).
Исходя из сложившейся международной практики и существующих систем документооборота в Республике Казахстан, а также из соображений снижения стратегического и операционного рисков и риска утраты репутации ИОК, СУЦ РК состоит из следующих компонентов:
-
Корневой удостоверяющий центр Республики Казахстан (далее КУЦ РК);
-
Национальный удостоверяющий центр Республики Казахстан (далее – НУЦ РК);
-
Удостоверяющий центр государственных органов Республики Казахстан (далее – УЦ ГО);
-
Аккредитованные Удостоверяющие центры Республик Казахстан (далее – УЦ).
СУЦ РК поддерживает иерархическую архитектуру доверия, основные положения которой заключаются в следующем:
-
на вершине иерархии СУЦ РК находится КУЦ РК, который выпускает самоподписанный сертификат;
-
Удостоверяющие центры СУЦ РК организуются иерархически под управлением КУЦ РК, который выпускает (переподчиняет) сертификаты для подчиненных Удостоверяющих центров;
-
подчиненные Удостоверяющие центры выпускают сертификаты для конечных пользователей;
-
каждая доверяющая сторона знает открытый ключ подписи КУЦ РК и имеет соответствующий сертификат;
-
любой сертификат может быть проверен путем выстраивания цепочки сертификатов от КУЦ РК и ее верификации, т.е. проверки связанности субъекта сертификата и его открытого ключа.
-
Процедура верификации цепочки сертификатов подразумевает, что все «правильные» цепочки начинаются с сертификатов, изданных одним КУЦ РК;
-
подлинность сертификата для доверяющей стороны должна быть удостоверена тем, что каждый сертификат в цепочке подписан при помощи открытого ключа следующего сертификата в цепочке; срок действия сертификата не истек и сертификат не отозван, и каждый сертификат удовлетворяет ряду критериев, задаваемых сертификатами, расположенными выше в цепочке;
- для получения доверяющей стороной сертификатов для проверки цепочки может использоваться модель с извлечением, при которой отправитель сообщения передает только свой сертификат, а получатель должен сам извлечь сертификат удостоверяющего центра.
КУЦ РК является опорной точкой доверия в иерархической ИОК. Это означает, что все конечные субъекты данной ИОК доверяют этому УЦ. Каждая доверяющая сторона знает открытый ключ подписи КУЦ РК. Строить пути сертификации в иерархии просто, так как каждый УЦ имеет один вышестоящий КУЦ РК. Это делает наглядным, простым и определенным построение пути сертификации от сертификата к одной точке доверия – корню. При этом КУЦ РК выпускает самоподписанный сертификат, которым оканчиваются все последовательности сертификатов, образующие так называемые «цепочки доверия» в иерархии удостоверяющих центров.
Назначением КУЦ РК является сертификация подчиненных УЦ в иерархии СУЦ РК. Это подразумевает выдачу сертификатов только подчиненным УЦ СУЦ РК при условии их аккредитации уполномоченным государственным органом в сфере электронного документооборота и электронной цифровой подписи согласно Постановлению Правительства Республики Казахстан от 19 ноября 2010 года № 1222 «Об утверждении Правил проведения аккредитации удостоверяющих центров». КУЦ РК не выдает сертификаты конечным пользователям, а лишь сертифицирует подчиненные УЦ, например, такие как НУЦ РК, УЦ ГО и другие УЦ, аккредитованные уполномоченным государственным органом в сфере электронного документооборота и электронной цифровой подписи.
