ГОСТ Р МЭК 62443-3-3-2016 Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности (Переиздание)
5.11 SR 1.9 - Надежность аутентификации по открытому ключу
5.11.1 Требование
Применительно к системам управления, использующим аутентификацию по открытому ключу, система управления должна обеспечивать возможность:
a) валидации сертификатов посредством проверки действительности подписи того или иного сертификата;
b) валидации сертификатов посредством создания пути сертификации к общепризнанному СА или, в случае самозаверенных сертификатов, посредством проверки "листовых" сертификатов ко всем хостам, поддерживающим коммуникацию с субъектом, для которого выдан сертификат;
c) валидации сертификатов посредством проверки того или иного сертификата на предмет аннулированности;
d) учреждения контроля со стороны пользователя (физического лица, программного процесса или устройства) за соответствующим секретным ключом; и
e) присвоения аутентифицированной идентичности пользователю (физическому лицу, программному процессу или устройству).
5.11.2 Целесообразность и дополнительная методологическая основа
Криптография на открытом/частном ключе строго привязана к секрету частного ключа отдельно взятого субъекта и корректному ведению доверительных отношений. При верификации доверия между двумя субъектами на основе аутентификации по открытому ключу жизненно важно приписать сертификат частного ключа доверенному субъекту. Типичная погрешность реализации при валидации сертификатов - проверять только истинность подписи сертификата и не удостоверять доверие к подписавшемуся. В системе PKI подписавшийся является доверенным, если он представляет доверенный СА или имеет сертификат, выданный доверенным СА, поэтому все проверяющие должны идентифицировать предъявляемые им сертификаты опять же в доверенном СА. Если такая цепочка из доверенных СА не может быть зафиксирована, то представленный сертификат следует считать недоверенным.
Если вместо сертификатов PKI используются самозаверенные сертификаты, то субъект, предъявивший сертификат, сам его подписывал, а значит, доверенной третьей стороны или СА не существует вообще. Это следует компенсировать посредством наделения самозаверенными сертификатами на открытом ключе всех партнеров, которые должны удостоверить их истинность посредством защищенного иным образом механизма (например, сбора всех партнеров в доверенной обстановке). Доверенные сертификаты должны быть распределены между партнерами через защищенные каналы. В ходе проверки самозаверенный сертификат по возможности должен быть признан доверенным только тогда, когда он уже имеется в перечне доверенных сертификатов проверяющего партнера. Набор из доверенных сертификатов должен по возможности быть сконфигурирован до минимального необходимого набора.
В обоих случаях валидация должна допускать также возможность того, что сертификат недействительный. В системе PKI это обычно делается посредством ведения списков аннулированных сертификатов (CRL) или использования сервера онлайнового протокола статуса сертификата (OCSP). В случае если проверка на предмет аннулированности не доступна в силу ограничений со стороны системы управления, то такие механизмы, как укороченный срок действия сертификата, могут компенсировать отсутствие актуальной информации об аннулировании. Следует отметить, что сертификаты с укороченным сроком действия могут иногда создавать существенные проблемы эксплуатации в среде системы управления.
5.11.3 Расширения требований
5.11.3.1 SR 1.9 RE1 - Безопасность аппаратного обеспечения при аутентификации по открытому ключу
Система управления должна обеспечивать возможность защиты соответствующих частных ключей посредством аппаратных механизмов в соответствии с общепризнанными практиками и рекомендациями индустрии безопасности.
5.11.3.2 Пусто
5.11.4 Уровни безопасности
Далее приведены требования для уровней SL, относящихся к SR 1.9 - Надежность аутентификации по открытому ключу:
- SL-C (IAC, система управления) 1: не определены;
- SL-C (IAC, система управления) 2: SR 1.9;
- SL-C (IAC, система управления) 3: SR 1.9 (1);
- SL-C (IAC, система управления) 4: SR 1.9 (1).